網(wǎng)站的安全性能將面臨著各種各樣的挑戰(zhàn)
(文章來源:數(shù)字商業(yè)時(shí)代)
2018年7月起,Google瀏覽器的地址欄將把所有HTTP標(biāo)示為不安全網(wǎng)站。這一變化,將會(huì)影響到用戶網(wǎng)站的安全性提升,同時(shí)也為企業(yè)數(shù)字證書提供商帶來了商業(yè)機(jī)會(huì)。
因真實(shí)的信息驗(yàn)證、隱私保護(hù)等安全特性,HTTPS已經(jīng)成為當(dāng)下互聯(lián)網(wǎng)的大趨勢。國內(nèi)百度、淘寶等網(wǎng)站先后實(shí)現(xiàn)了HTTPS,同時(shí)Google瀏覽器、火狐也已開始對非HTTPS頁面進(jìn)行警告,而蘋果的iOS和macOS上也有類似的功能,名為App Transport Security(ATS)。
“大家普遍認(rèn)為,交易網(wǎng)頁有交易的銀行信息,因此需要保障其安全。但如今網(wǎng)站具有非常高的動(dòng)態(tài)性,因此涉及到個(gè)人信息的每一網(wǎng)頁都需要加密?!?DigiCert公司首席營收官Rob Hoblit在近日的采訪中,如是的說道。
促進(jìn)變革的技術(shù)映射是破壞力極強(qiáng)的“攻擊”形式,從勒索病毒到Mirai。從名不見經(jīng)傳的黑客團(tuán)體到名聲遠(yuǎn)揚(yáng)的團(tuán)隊(duì),通過漏洞尋找商業(yè)價(jià)值似乎已成為某些團(tuán)隊(duì)的本職。而事實(shí)證明,網(wǎng)絡(luò)攻擊的規(guī)則和邏輯已經(jīng)變了。還在處于揮舞刀槍棍棒的我們,但對手早已練好射擊要領(lǐng)。
單一的環(huán)境下,安全技術(shù)的發(fā)展可能會(huì)比較統(tǒng)一。其次監(jiān)管和法規(guī)還未明確的時(shí)候,安全屬于個(gè)人的意識(shí),在互聯(lián)網(wǎng)行業(yè)工作了十多年的DigiCert首席營收官Rob Hoblit認(rèn)為:“有兩個(gè)維度增加了證書的復(fù)雜度,第一是不同瀏覽器有自己的發(fā)展方向,這就造成了整個(gè)環(huán)境更復(fù)雜。第二,不同國家也根據(jù)自己的情況去制定自己的法規(guī)或監(jiān)管的路徑?!?/p>
從網(wǎng)絡(luò)威脅的角度上來講,環(huán)境的多樣性使攻擊技術(shù)更加多種多樣,并且長期處于進(jìn)化過程中。有數(shù)據(jù)顯示,自2013年以來,全球有超過90億的記錄丟失或被盜,而財(cái)富500強(qiáng)公司中有80%的價(jià)值來自知識(shí)產(chǎn)權(quán)和其他無形資產(chǎn),這意味著資產(chǎn)數(shù)字化也帶來了巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。也有報(bào)告指出,一次大規(guī)模的黑客攻擊可能導(dǎo)致高達(dá)530億美元的損失,這相當(dāng)于一場自然災(zāi)害的規(guī)模。
面對不斷變化更新的攻擊技術(shù),這場硬仗不得不打。因此DigiCert認(rèn)為“從我們的角度來講,這個(gè)世界會(huì)變得越來越復(fù)雜,所以我們能做的事情是盡量用技術(shù)來解決復(fù)雜度?!?/p>
2015年到2018年,采用HTTPS的網(wǎng)站出現(xiàn)了大幅度增長。Rob Hoblit說到:“互聯(lián)網(wǎng)經(jīng)歷了巨大的變革,同樣,HTTP的輸入也發(fā)生了巨大變化。”例如,在舊的Chrome瀏覽器版本中輸入HTTPS網(wǎng)址后就會(huì)出現(xiàn)安全字樣,但輸入HTTP,則并不會(huì)出現(xiàn)任何變化。而在2018年7月以后,當(dāng)用戶再輸入HTTP網(wǎng)址,網(wǎng)址前就會(huì)顯示“不安全”的字樣,因此用戶能直觀感受到網(wǎng)站的不安全性,從而采取安全措施。
谷歌正在努力做出改變,為所有人提供更安全的互聯(lián)網(wǎng)。同樣DigiCert看到了企業(yè)未來SSL認(rèn)證的需求,并于2017年收購了賽門鐵克的網(wǎng)站安全業(yè)務(wù)和相關(guān)的PKI解決方案。在2018年夏天,DigiCert將會(huì)推出一款新的產(chǎn)品CertCentral - 該產(chǎn)品有不同的版本,分別面向客戶端和企業(yè)級(jí)。其最大的特點(diǎn)是具備更靈活的API,可以用做企業(yè)的集成。不管是哪個(gè)行業(yè),比如電商、互聯(lián)網(wǎng)企業(yè),都可以很靈活地用API去實(shí)現(xiàn)對系統(tǒng)的調(diào)用,完全可以實(shí)現(xiàn)定制化SSL認(rèn)證的需求,響應(yīng)谷歌的改變。
利用API方式實(shí)現(xiàn)自動(dòng)化管理,是目前數(shù)字證書領(lǐng)域最主要的客戶化應(yīng)用趨勢。同時(shí)可靠的技術(shù)支持服務(wù)是企業(yè)客戶實(shí)現(xiàn)這一目標(biāo)的必要保障。在中國市場,DigiCert早已占據(jù)了2/3,接下來將主要集中在投資ICA的建設(shè)方面。