【2018可信云大会】CTO袁国成：HTTPS网站安全评估与监测告警解决方案

袁国成：如今下午时间你们都比较累了，给你们带来一些干货。我今天分享的主题是关于HTTPS网站的安全评估与告警监测。

以往咱们在分享安全话题的时候，比较多的是关于网络安全的，针对HTTPS这块的话题可能讨论的比较少。

咱们这里先介绍一下亚数，咱们在HTTPS这块的领域已经研究了十几年的时间，在今年的2月份咱们Netcraft的一个数据统计机构里面统计，统计咱们亚数的数字证书在国内的份额已经占据了第一位，目前大概是40%的市场份额。应该说在HTTPS这块来讲，亚数是处于一个领先者的地位。

 

我相信老网民比较熟悉，这是咱们十几年的网站页面。那时候咱们上网比较简单，就是去浏览一下网页，也不须要作不少的安全防御。到了今天，咱们看不单只是用PC去上网，咱们还会用手机、IPAD上网。

应用环境除了浏览网页以外，咱们还会去电商购物，视频网站看视频，也会在网站上消费。目前网站的应用场景是很是复杂的，在这样复杂的环境里面咱们怎么样去保证咱们的网站安全？

 

首先咱们要给网站上一把锁，从HTTP变到HTTPS这样一个访问。简单一点，就是咱们只要在网站上面部署一个SSL证书，就可以实现访问网页加密的访问。你们若是细心，今天去访问淘宝、京东、百度，仍是习惯性的在网站上输入HTTP：//…，可是你会发现你的地址输入完以后会自动跳转到HTTPS，意味着如今的网站他们都已经作了强制的加密的访问。

 

为何咱们要作HTTPS？首先它是符合咱们国家的法规，也是一个等保的要求。在等保里面咱们看到，在咱们对于数据传输的完整性以及保密性里面是有要求的。由于咱们的网页上承载了用户的账号、密码、手机等等一些隐私的数据，这也是今年新的欧盟的GDPR里面的要求。

咱们看到HTTPS还能够防止中间的攻击，有时候咱们访问网页的时候会看到各类各样的咱们不肯意看到的广告，可是这些广告并非网站主发出去的，由于他们的网站被进行了流量的劫持。

当咱们访问一个网页，从PC到最后的服务器，这个传输过程当中，在任何一个环节里面，包括咱们家里面的路由器，到运营商的网络设备都有可能会产生这样一个流量劫持，致使跳出广告。这个比较恶心的是网站主是无感的，由于这个劫持只发生在客户端访问的时候出现，因此这个攻击里面攻击了多少次、攻击的状况是什么样的，网站主是彻底不知道的。

HTTPS能够防止数据被窃取、篡改，下面一个是HTTP的图，是不能被篡改和修改的。

 

在2013年的时候咱们的互联网专家定义了新一代的互联网加密协议，这个协议就是咱们的HTTP2.0。这个协议有两个特色，第一个它让咱们访问网页更加安全，由于它定义了HTTPS是一个标配的访问协议。

第二个很重要，它可以极大地提高网页的访问速度，它的原理就是经过优化咱们的HTTP访问的握手协议，去提高咱们网页的访问速度。

这里面我想让你们去体验一下，这是咱们经过手机APP打开一个界面，访问一个网站。左面就是原来1.1的协议，咱们打开一张世界地图，它的传出是一帧一帧出来的，它用时是9秒。右面的是HTTP2.0，你们看很是快，2秒钟就出来了。

 

目前搜索引擎不论是国外的谷歌，仍是咱们国内的百度，对于HTTPS的网站的排名是优先输入的，这一点对于咱们作SDU的优化来讲是很是有帮助的。同时HTTPS也是符合咱们国际的支付协议，就是PCI的安全规范。

对于咱们最经常使用的iPhone来讲，在今年的1月份已经强制要求全部上架的APP必需要用HTTPS的协议。

回到国内，咱们的腾讯、微信，由于咱们在去年的时候跟腾讯进行了合做探讨，也定义了小程序的规范必需要使用HTTPS的协议。这就是咱们跟腾讯一块儿来去作的一个SSL证书的架构协议。

 

另一点很重要，咱们的SSL证书若是是用一个EV证书，它能够在咱们浏览器的地址栏里面出现网站主的信息，这一块对于一些事业单位、重要的网站来讲，这个用户体验是很是好的。

综合上述的一些状况，咱们看到HTTPS两个最关键的点，第一个是保护用户数据的隐私，第二个提高网站的可信度。

从在2013年1月份到2017年5月份统计的SSL证书的发展状况看，能够看到从2016年5月份开始，是一个几何级别的增加。到如今来讲，应该增加很快。可是我能够告诉你们，到目前为止SSL的证书，HTTPS访问的网页目前只有大概5%左右，也就是有95%的网站他们并无使用这个加密的协议来去访问。

 

咱们讲了这么多，怎么样去为咱们的网站去选购一张SSL证书？

应该说，通常状况下咱们会考虑四方面，第一个方面首先是浏览器的兼容性，由于再好的证书、再好的加密算法，若是浏览器不兼容其实都是没有用的。

第二个，咱们要考虑算法的优点，由于算法越好，越难以破解。

第三个是这个品牌的产品线是否丰富。

最后一个是本地附加的服务。国内的品牌能够选择咱们亚洲诚信的证书，由于目前来讲咱们的网络安全都但愿是国产化的，因此我是建议你们优先选择国内的品牌。

 

另外咱们看到证书的安全性跟信任等级跟国外是同样的，加密算法也是用了高级的算法。它的优点就是颁发周期很是短，通常3—5个工做日就能够颁发，可是国外的证书要一周以上才可以颁发。

咱们去年联合了国内大部分的云一块儿来推了一个加密无处不在的计划，这个计划咱们从去年到如今统计了有超过20万网站实现了HTTPS，咱们的特色只要你在咱们的合做伙伴的网站界面里面，一键就能够实现HTTPS的部署，这是咱们某一个合做伙伴的界面，只要在上面进行一个简单的操做，就可以为你的网站开启HTTPS。

 

那接下来咱们更深刻的话题，咱们实现了部署的证书，网站已经变成了HTTPS，是否是就是安全的？

这个答案跟刚才主持人说的同样，其实并不就必定是安全的。咱们自研了这样一个系统，对咱们全网的数据进行统计分析，发现目前有32.2%的网站仍是处于一个不安全的状态，我再次强调一下32.2%的网站是HTTPS的网站。

它的评级属于不安全的，咱们这个数据不是瞎说的，咱们的数据目前已经采集了67万的网站样  |原本去获得这样一个数据。

 

为何会有这么多的网站不安全？咱们进行了一些分析，目前主要有这样一些状况。

首先第一个，咱们部署的证书不可用。由于咱们的证书都是有有效期的，一旦你过了有效期之后，没有去颁发新的证书，那么你的证书是不可用的。

另一点，若是你从一些小的渠道买了一些小品牌的证书，也有可能出现证书不可用的状况。

就像某大的电商网站，曾经发生过的事情，在2年之前出现过证书的问题，致使那一天有2小时网站中止访问，你看多可怕，京东、淘宝这样的网站停2个小时是什么概念？

 

这是证书链的不完整，由于证书是一级一级分层去颁发证书，中间这一层若是没有去部署，会致使证书链的不完整，出现网站的不可访问。

这是咱们在网站上使用一些安全性比较低的加密套件，致使你的网站仍是处于一个不安全的状况。这就是咱们在服务器里面使用了比较低版本的OpenSSl，致使出现了一些比较常见的漏洞。

这块多是你们比较在乎可是比较严重的问题，就是不安全的外链。当你的网站使用了HTTPS，可是你的网页当中一旦内嵌了一种不安全的外链，由于这种状况是很广泛的，由于咱们可能会链接流量统计，或者带入一些外部的图片，这时候你的连接有多是普通的HTTP的连接，这种状况下你仍是会被流量劫持。

 

这就是刚才提到的证书的兼容性的问题，若是你使用了一些普通的国产证书，或者是一些小品牌的证书，他们在不一样的浏览器里面兼容性并不必定很是好。

这里面提到咱们在谷歌浏览器上，从60开始，对咱们网页不使用HTTPS访问的时候很是不友好，直接就跳出一个不安全的红色警告出来。

 

针对咱们客户这么多使用咱们的证书仍是不安全，咱们也研发了一款产品，叫作MySSL在线服务平台来去解决问题，这个MySSL目前是公益版，在网上是在线服务的，能够不收费就进行使用。

咱们的MySSL目前主要是这六块功能，第一个是安全评级，而后是证书品牌的管理，有效期管理，漏洞的分布，合规的检测等六大功能。

其中最核心的就是第一块安全评级，会根据咱们的安全风险分为A+、A、A-、B、C、D、E、F、T这九个级别，在A+、A-跟A都是属于安全的，若是是B跟C意味着你的网站有漏洞，但仍是能够正常使用。若是一旦在D如下，你的网站有重大漏洞，必需要立刻修复。

 

同时咱们考虑到运维人员对SSL这方面的管理，咱们在网站上也提供了不少SSL小工具，方便咱们的运维人员对网站进行包括私钥、公钥的管理，有兴趣的能够到咱们网站上看一下，考虑一下使用这个功能。

这里面咱们再看一下MySSL评估功能，包括评估证书信息，包括协议和套件的安全状况，包括SSL的漏洞，包括证书的兼容性、浏览器的兼容性，均可以在这个评估报告里面很清楚的看到。

很重要的就是一个它会对咱们提供你评级不安全的缘由，第二个它会给一个很详细的修复建议，包括咱们的运维人员把这些漏洞给修复掉。

 

今年8月份咱们又针对MySSL出了一新的企业版，它的功能应该说很是强大，能够支持多个站点的实时监控和管理，会有一个比较详细的面板来去看到各个域名网站的安全分析报告，就像一个体jian报告同样。

这是咱们刚才提到的不安全外链的状况，这里面咱们有一些客户给咱们提这样一些需求，由于这个客户也是目前国内的某二手市场里面比较大一个电商网站，他们天天会有不少用户去发布这些二手信息，很容易内嵌到不安全外链，这块咱们提供实时的不安全外链的报告，可以精准定位你的网站在什么时间哪一个页面上内嵌了不安全的外链。同时咱们也会对中间人攻击进行实时的态势感知分析。

 

考虑到咱们用户在使用咱们这个系统的便捷性上来讲，咱们MySSL是基于SaaS的架构，它的使用很是简单，只要你输入你的网站域名和你的端口，后面就能够交给咱们来进行监控。

咱们的监控每10分钟就会对你的网站进行实时监测，一旦发现异常咱们会经过微信、电话、短信告警去通知用户，你的网站出现了不安全的状况。

刚才提到MySSL目前已经有67万独立HTTPS网站域名的数据，咱们目前没有作专业的推广，也没有去搜索引擎买广告，可是咱们目前已经有15万的日检测量，这只是短短两三个月的系统发布。

 

最后我是想让你们作一个简单的互动，你们能够拿一个手机打开微信小程序扫一扫咱们的小程序，输入你关心的网站，就能够立刻看到你的评测结果。谢谢你们！

 

                                                                                                                                              （以上内容转自“中国IDC圈”）