这两年,以谷歌为首的浏览器纷纷推崇 HTTPS,并将 HTTP 标记为不安全,引发大量网站改版升级。这一变化推进了用户网站的安全性提升,并为企业数字证书提供商带来了更多市场。
我觉得以后浏览器甚至可能直接不显示 HTTP 网址的页面。这样一来,没有加密的网站就无法继续留存。这也促进了网站使用加密证书,增加了证书需求量。
在FIT 2019 大会现场,DigiCert 的产品与标准副总裁 Dean.J. Coclin 在接受 FreeBuf 采访时,谈到了当前加密证书在物联网市场等新兴市场中的应用,并介绍了数字证书与加密业务的发展与趋势。
看不到?点这里
加密无处不在
一直关注 FreeBuf 的读者可能知道,2016 年 Dean 就曾接受过我们的采访,当时他还是赛门铁克网站安全业务单元的负责人。从业三十年来,Dean Coclin 经历过很多不同的企业收购与并购,但业务一直围绕着数字证书授权以及加密展开。多年兜兜转转似乎像命运的安排,Dean 却似乎并没有很在意。一方面,如他之前所说,跟老面孔一起工作很开心,可以一起推动公司发展。另一方面,一直与数字证书与加密业务打交道的他,来到了同样聚焦这一业务的 DigiCert,也更能百分之百地专注。
我曾在赛门铁克待了七年,之前赛门铁克曾因为证书发行问题深陷争议。DigiCert 接手赛门铁克的证书业务之后,就面临着重大挑战,必须重新发行数百万存在争议的证书。最终,我们还是用最少的发行量解决了问题,且避开了失误。大部分客户对于这样的补救都很满意。也就是说转到 DigiCert 之后,我们首战告捷。对我来说,这是很开心的事情,也是新的体验。
这样的处理结果也得益于 DigiCert 在数字证书领域深耕多年所积累的经验。DigiCert 成立于 2003 年,当时创始人出于“寻求更好的方式帮助用户在 Web 服务器上安装数字证书”的考量,建立了这家公司并集中精力做 CA 业务。2017 年,DigiCert 收购了赛门铁克曾占全球网站安全市场份额较大的网站安全业务,并妥善处置争议,此后发展愈发壮大。
如今,在“加密无处不在”的全球局势中,DigiCert 势头俨然一片大好,客户涵盖银行、电子商务、技术、医疗保健与制造企业,且业务范围也从 Web 加密拓宽到 IoT 等新兴市场的身份验证、加密等。
在有着 30 年从业经验的 Dean Coclin 眼中,数字证书与加密行业其实也经历了巨大转变:
例如PKI(公钥基础设施)从 90 年代鲜有人知发展到现在成为不可或缺的“实用工具(utility),甚至能实现即插即用。
这样的发展,其实符合安全领域的变化以及当前企业在安全方面需求,也离不开 DigiCert 等加密证书厂商的推动。加密无处不在,加密也要与时俱进。这是他想要强调的重要一点,也是 DigiCert 的愿景所在。
当数字证书遇到物联网
众所周知,物联网在提升生活便利性的同时,也带来了不同的威胁。制造企业,特别是低价消费类电子产品制造企业,为了将产品迅速推向市场或节省成本,经常在设计阶段忽略安全细节,很容易被黑客或他人利用。就此,Dean给出了一些建议。
对于已经使用但处于风险中的设备,可以采取以下措施:
将设备与公网隔离,加上防火墙并连接到隔离网络中,设置访问权限,只允许有授权、有凭证的用户访问;
在条件允许的情况下,将这些设备替换掉;
修改默认密码、设置复杂密码;
关闭不需要的端口
……
而对于即将生产或处于设计阶段的物联网设备而言,就可以结合数字证书来增强安全性,主要是实现对设备的强身份验证;端到端加密以及代码数字签名。
Dean 介绍说,DigiCert 在 IoT 设备安全建设方面有着 15 年左右的经验,他们针对 IoT 的证书发行系统与针对Web 服务器的系统并不相同。通常来说,web 服务器的证书发行需要认证和授权,且主要遵守CA/Browser 论坛和 WebTrust 标准,只能一次发布一张证书。而由于目前物联网设备数量庞大,且不断增加,20年内甚至会达到万亿级别。所以 IoT 证书发行的系统要兼顾速度与效率,有时还要批量发行。例如,有电视机生产商一次性可能就需要 10 万份证书用于安装在新生产的设备中,那么 DigiCert 就批量发行这批证书,送到制造商手中。以确保制造商能及时为数量庞大的设备安装证书。针对这一情况,DigiCert 还开发了一套系统,专门解决这些问题。
在大会的演讲中,Dean 以一款安全性较高的芭比娃娃为例,向听众传达了“在设计阶段考虑安全性”的建议。在此之前,他还曾在个人领英首页分享过一篇文章,也是以玩具为例,探讨“物联网设备如果不安全,是否还应当联网”的问题。
当我们问他为什么偏偏在众多物联网设备中选玩具作为例子的时候,他哈哈一笑:
其实这也是偶然所得。去年我在互联网玩具大会上有个演讲,所以我就要去研究一下。其实,除了联网玩具,很多其他物联网设备的研发速度都很快,进入市场的价格也比较便宜。为了追求速度和便宜的价格,安全就难以有保障。所以,我们必须让这些厂商意识到必须要确保联网设备的安全,否则这些设备会很容易受到 Mirai 僵尸网络等病毒的攻击,进而造成较大威胁。
所以他也强调:要想使用证书保护物联网设备,最重要的还是在产品设计、制造、部署或持续维护期间就将PKI融入其中,同时保持 CA 基础设施的灵活性。这其实类似近些年呼声颇高的 DevSecOps,也是DigiCert 推崇与不断践行的理念:数字证书作为基础性的安全措施,融入到产品和设备的开发生产当中,以便更好地确保安全,应对风险。
也许有一天HTTP不能再访问
谈及数字证书,我们无可避免地聊到了 HTTPS 的话题。Dean 认为现阶段 HTTPS 已经普及。谷歌等浏览器厂商通过推行 HTTPS 进而推动了web 流量完全加密。目前很多浏览器中的 HTTP 网页都会出现“红叉”或“不安全”的标记与提醒,而未来,很多浏览器甚至不会再显示 HPPT 网址的页面,让没有加密的网站无法留存。这也促进了网站使用加密证书,增加了证书需求量。
以前我曾经看到有报告说 web 网站中的证书数量已经超过了 4600 万张,现在这个数字已经翻倍还不止。主要就是浏览器推行 HTTPS 所致。
尽管 HTTPS 的前景大好,但当前我们常常谈论的区块链、云计算、AI等新技术也会带来新的攻击面。Dean与参与采访的 DigiCert 中国区经理陈志红都提到了量子计算,认为这是未来需要重点关注的问题。
如果量子计算机不断发展,未来量子达到一定的数量,就可能对传统加密方法造成冲击。这种事情一旦发生,后果将不堪设想。所以 DigiCert等数字证书代表厂商也已经着手研究量子安全算法,将他们融入证书解决方案。如果未来量子计算机成为主流,那么带有量子安全算法功能的证书可以保护计算机,使之远离加密错误等类似威胁。
当然,新技术带来的也有新机遇。Dean 说,DigiCert 的研究团队已经与很多不同类型的机构开展合作。他们还专门设立了一个团队来研究区块链技术,将其用于身份验证。在网站加密普及之后,下一阶段比较重要的就是网站身份验证了。利用一些扩展验证证书,如 EV 证书等,可以为用户展示网站信息,有效辨别网站真假。当前,其实全球大量金融机构都已经使用了 EV 证书。现在也有研究表明,一些用户对 EV 证书已经有了认识。DigiCert 自身也在大力推行 EV 证书。
数字证书在不断进步,当然我们还需要继续努力。
相比其他厂商或演讲者提到的多种抵御风险和威胁的解决方案,DigiCert 这种一门心思专注于数字证书和加密,并不断改进、发展,也是另一种很酷的践行并推行安全的方式。Dean 在谈话中说,利用一些证书和工具,可以让消费者访问网站时,点击相关按钮就能看到网站详细信息,从而验证网站真实性,避开更多风险。这些技术已经在使用了,而我们期待的是,在越来越多的网站上看到这样的安全验证。也许有一天,HTTP 网址都无法再访问,HTTPS 成为常态,而基于加密和证书的安全验证,会成为证书厂商着力推进的下一个重点。
*FreeBuf官方报道,转载请注明来自FreeBuf.COM。