为什么要全面普及HTTPS?
发布日期:2019-08-14无论哪个行业,企业、机构在运营过程中都涉及到一些敏感数据。这些信息如果未得到有效保护,将影响数以亿计的平民百姓的利益,并且,可能对企业造成不可估量的损失。很多企业为了保护自己以及用户所能做的最好的事情就是使用可靠的网络安全措施,为网站安装SSL证书实现https加密,而给网站安装SSL证书将有助于提升企业网站竞争力。
HTTP早已不安全
为了实现网络的高度安全,需要很多环节协同工作,只要有一个环节有漏洞,就有可能被利用,而为了提高网络的相对安全性,最高优先级就应该从HTTP下手,因为这个用户使用的最频繁。
目前几乎所有的个人电脑都处于路由器NAT保护之下,如果用户不主动访问Internet,别人无从对NAT后个人电脑下手。
一旦用户主动访问Internet,就相当于在NAT城门上啄了一个小洞,这个小洞就是一个NAT映射表,如果没有流量刷新,300秒之后小洞就会关闭。
在小洞存活的300秒以内,允许外部主机来访问个人电脑,而明文的HTTP就是最好的载体。一旦个人电脑被植入了木马,木马程序就会主动周期性发消息给Internet的控制终端,这样NAT小洞会一直敞开大门(周期性消息刷新定时器),给远程控制提供了便利。
HTTPS提供了端到端的安全加密
不仅提供数据机密性(加密),还提供数据完整性(不篡改数据)保护、防重放(把捕获的报文再发一次无效),这样坏小子就很难下手,没有session key 很难去偷窥并篡改用户的数据,更无法依赖HTTPS这个载体植入木马。
为何明文传输的HTTP可以被劫持,篡改网页内容,而加密传输的HTTPS却不可以?
那是因为HTTP被劫持篡改页面,重新计算TCP checksum,用户电脑是无法判别是否被篡改,只好被动接收。
而加密传输之后,有了HMAC保护,任何篡改页面的尝试,由于没有session key,无法计算出和篡改网页一致的HMAC,所以数据接收端的SSL/TLS会轻易地识别出网页已被篡改,然后丢弃,既然无法劫持,也就没有篡改的冲动了,所以HTTPS可以很好地对付网页劫持。
HTTPS并不是绝对安全
斯诺登暴露出,针对IPsec,TLS的密钥交换所依赖的Diffie-Hellman算法攻击,即通过离线的超级计算机预先计算出海量的公钥、私钥对,一旦尝试出私钥就会得到Master Key,进而推导出session key,这样历史数据、现在、将来的数据全可以解密。
以上是被动攻击方式,针对数字证书欺骗则属于主动攻击,可以实时地解密用户数据。但种种主、被动攻击难度都很高,往往是以国家意志为源动力,而不是一些小团体所能完成的。
既然HTTPS不是绝对可靠,那依靠HTTPS工作的网银安全吗?安全,放心使用!
银行在转账时,通常需要用户私钥签名确认,而私钥就嵌入在USB Token里,类似下图中的硬件设备。只要用户不要把这个借给别人使用,转账可以确保安全。
电脑网银用户一般都有一个USB Token,里面有用户数字证书私钥(Private Key),网银转账一定要有用户数字证书私钥签名的转账确认,而这个私钥只有用户的Token唯一拥有,而银行拥有用户数字证书公钥(Public Key),可以成功解密出用户私钥(Private Key)签名的转账确认,以此确信转账指令是由拥有USB Token的用户发出来的,这样会进一步提高网银的安全性。
手机银行一般都是APP,可以强制使用(Public Key Pinning )特定根证书作为证书信任链的顶端,可以避免客户端使用误安装的伪造证书,所以APP不会与假的服务器建立TLS连接,只会与真正的服务器建立安全隧道,一旦隧道成功建立,通信就是安全的,即使转账也是安全的。转账之前通过手机验证码确认,又多了一层安全保护。
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。从网站安全和用户体验上来讲,HTTPS站点更为安全优质。目前,全球的网络安全都在处于加强防护的状态,各种的不安全的协议、条例都处于被淘汰的状态。如HTTP明文传输协议、FTP协议……都在列为不安全,逐步被HTTPS取代。据Google的最新数据,全球已超过70%的网站已部署SSL证书,通过HTTPS访问,但在我国网站仍未达到10%。可见,我国的网络安全道路是路漫漫其修远兮。为此,沃通CA建议国内各大站点应及早置换到HTTPS,为用户的个人隐私提供基本网络安全保障。
以上,是为大家分享的“为什么要全面普及HTTPS?”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。
相关内容
沃通作为国内领先的SSL证书签发CA,早在2014年就已经开始了采用国密算法签发SM2 SSL证书的研究,并取得了可喜的研究成果。我们充分认识到国密SSL证书要达到实用和大量部署使用还需要相关系统的支持,如浏览器和服务器软件。同时,还要考虑到其通用性与全球性,即网站用户可能使用各种不同的浏览器和用户来自世界各地。所以,我们一直在持续研究基于国密算法实现https网站加密的完整解决方案。
国密浏览器需要遵循国密SSL协议规范GM/T 0024-2014。 GM/T 0024-2014没有单独规范 SSL协议的文件,而是在SSL VPN技术规范中定义了国密SSL协议。国密SSL协议(SSL VPN协议)包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。