为您推荐

随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
引言:在聊SSL(Secure Sockets Layer 安全套接字协议)加密解决方案前,我们先来做一个小实验,用谷歌浏览器访问12306网站。
观察这两张图,第一张访问域名http://www.12306.cn,谷歌浏览器提示不安全链接,第二张是https://kyfw.12306.cn/otn/regist/init,浏览器显示安全,HTTP和HTTPS不同的请求方式出现不安全和安全两种字样,为什么HTTPS就安全呢?
背景介绍-什么是HTTPS?
HTTPS通俗说就是身披SSL外壳的HTTP。HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。
HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。
PS:TLS是传输层加密协议,前身是SSL协议,由网景公司1995年发布。
加密技术
提到HTTPS不得不提加密技术,加密技术分为对称加密和非对称加密技术:
对称加密是最快速、最简单的一种加密方式,加密(encryption)与解密(decryption)用的是同样的密钥(secret key)。对称加密有很多种算法(例如:AES、DES等),由于它效率很高,所以被广泛使用在很多加密协议的核心当中。但是对称加密的一大缺点是密钥的管理与分配,换句话说,如何把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中,密钥有很大的风险会被黑客们拦截。
非对称加密为数据的加密与解密提供了一个非常安全的方法,它使用了一对密钥,公钥(public key)和私钥(private key)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥,常用算法包括RSA、ECDSA。虽然非对称加密很安全,但是和对称加密比起来,它非常的慢。
结合非对称加密和对称加密技术优缺点,实际应用中通常采用混合加密的方式。就是对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通,因此即使被黑客截取,由于没有私钥,无法获取到加密明文的秘钥,便无法获取到明文数据。既加快了加解密的速度,又保证了传输内容的安全性。
SSL交互过程
需求分析-为什么使用HTTPS?
HTTPS具有如下几个特点:
2017年1月发布的Chrome 56浏览器开始把收集密码或信用卡数据的HTTP页面标记为“不安全”,若用户使用2017年10月推出的Chrome 62,带有输入数据的HTTP页面和所有以无痕模式浏览的HTTP页面都会被标记为“不安全”,此外,苹果公司强制所有iOS App在2017年1月1日前使用HTTPS加密。
2013年爆发的棱镜门事件后,政府已经将网络安全上升到了国家战略高度,由国家领导人直接领导中央网络安全和信息化领导小组、宣布出台网络安全审查制度、政府安全产品采购国产化等举措。国家“互联网+”战略提速,网络信息安全被认为是保障“互联网+”战略实施的重要环节。
网站不仅要支持全站HTTPS,还应选择自主可控的国产SSL证书,防止加密流量被监听,防止国家重要民生数据被泄露。
解决方案-网站升级HTTPS
将网站从HTTP升级HTTPS主要有两种方案:
1.通过服务器部署升级
将服务器中也网站页面中所有的链接,例如js,css,图片等等链接都由HTTP改为HTTPS。例如:http://www.baidu.com改为https://www.baidu.com。
虽然方法可行但是存在几个问题:
2.通过SSL OffLoad设备升级
使用SSL OffLoad设备,将加解密的工作交给专业的设备来完成,服务器无需修改。而SSL OffLoad设备具有专业的硬件加速卡能够极大的提高SSL加解密性能。
方案价值及主要优势:
OCSP Stapling:网站服务器将自行查询OCSP服务器并缓存响应结果,然后在与浏览器进行TLS连接时返回给浏览器,无需浏览器验证证书状态,提高SSL交互性能。
国密SSL证书部署解决方案
国密SSL是什么?
国密SSL指的是采用国密算法(SM1/2/3/4等),符合国密标准(GM/T0024-2014和GB/T38636-2020)的安全传输协议。简而言之,国密SSL就是SSL/TLS协议的国密版本。
国密SSL与等保2.0
等级保护2.0明确规定,要求对网络通信中的报文或会话过程全文加密(三级)。其中的密码技术,主要技术标准之一就是国密SSL。
方案优势-山石网科应用交付国密SSL部署方案优势:
无论是等保2.0要求还是积极响应国家号召,部署国密SSL证书都是有意义的。但是摆在用户面前的一个问题是:虽然部署国密SSL证书简单,但是原有的SSL业务都是商密证书,如何渡过商密和国密证书共存的这段时间是个难题。
由于国密证书需要使用国密浏览器(例如:密信浏览器、360安全浏览器等),由于客户端浏览器不固定,谷歌、IE、火狐等常用浏览器无法支持国密SSL证书,所以要兼顾所有客户端需要在提供国密SSL证书业务的同时,也能兼容非国密浏览器提供的商密SSL证书。
山石网科应用交付设备能够同时支持RSA/ECC/国密三种证书,在部署国密SSL证书时,能够兼容部署RSA/ECC证书。在国密浏览器在客户端普遍安装后,可以用过HTTP首部中的User-Agent字段识别客户端浏览器,为非国密浏览器客户端回复通知安装国密浏览器的页面。
延伸需求:邮件SSL加密部署解决方案
电子邮件作为曾经互联网上最大的流量和最常用的应用,在我们生活和工作中占有重要的地位。却和目前最大流量HTTP一样,电子邮件的传输也是明文传输。每一封邮件都是“明信片”,人们绝对不会在明信片上写什么机密信息,但是却在电子邮件中发送各种工作和生活中的几乎所有机密信息。
明文传输的邮件内容非常容易在传输过程中被非法窃取和非法篡改,很不安全。如何保证电子邮件内容不会被非法窃取和非法篡改,这是一个急需解决的问题。
邮件服务升级SSL加密和HTTP服务相同,包括服务器升级SSL或者使用SSL OffLoad设备对外发布SSL加密业务。
山石网科应用交付邮件SSL加密部署解决方案优势:
1.山石网科应用交付支持多种邮件协议包括:IMAP/POP3/SMTP及SSL加密后的IMAPS/POP3S/SMTPS,能够满足客户各种场景需求。
2.支持多种传输模式,包括明文、密文和STARTTLS三种模式。
STARTTLS:是一种明文通信协议的扩展,能够让明文的通信连线直接成为加密连线(使用SSL或TLS加密),而不需要使用另一个特别的端口来进行加密通信,属于机会性加密。
3.可配置对外提供支持的功能,可以将SMTP协议中不安全的命令功能禁用,例如:VRFY、EXPN、TURN等命令。
案例介绍
© 2010 – 2023 山石网科,保留一切权利。 北京市公安局朝阳分局备案编号1101051794 京ICP备09083327号-1 https://beian.miit.gov.cn/