DNSPod十问濮灿:中国网站的SSL证书即将断供？

问答时间：2020年8月20日

嘉宾简介：

濮灿：沃通电子认证有限公司总经理，360政企安全云安全事业部总经理、360未来安全研究院云安全研究院院长。从事多年技术开发和技术团队建设，对Linux内核、网络协议栈、高性能网络、DNS解析服务、WEB安全、SDP、SDWAN等多个技术方向有开发和项目经验。擅长网络安全和云安全方向，曾任上海牙木通讯有限公司研发总经理，盛大创新院高级研究员，上海聚流软件科技有限公司CEO，现主要负责360云安全和虚拟化安全的技术架构和产品市场战略。

主持人简介：

吴洪声(人称:奶罩)：腾讯云中小企业产品中心总经理，DNSPod创始人，洋葱令牌创始人，网络安全专家，域名及DNS技术专家，知名个人站长，中欧国际工商学院校友。

以下为对话原文整理：

第一问

吴洪声：现在企业上云逐渐成为了一种主流的趋势，与此同时，云上安全也成为了大家日益关注的话题。360作为国内在安全行业深耕多年的领先企业，最近有什么新的云安全技术动态可以和大家分享一下吗？

濮灿：是的。云安全已经成为一种趋势。360针对云安全进行了积极布局，将360安全能力全面云化，打造云端安全大脑，为政企客户提供安全赋能服务。

目前我们已经针对政企客户推出了一系列的云安全产品和解决方案。特别是针对当前多云环境下的网络安全威胁，推出了行业领先的连接云平台解决方案。它是依托于360安全大脑赋能，融合网络和安全，为多云环境下客户面临的网络安全难题。同时成立云安全研究院，追踪全球云安全最新动态，并在云安全前瞻性技术方面不断探索和研究，保障云安全产品的技术先进性。

第二问

吴洪声：在最近的ISC2020大会上，你提出了一个新一代网络和安全融合框架，基于SDP技术来消除网络周围的边界，这种技术和很多公司现在使用的vpn相比，有什么先进的地方吗？

濮灿：我们知道VPN技术已经是几十年的技术，在云出现之前的确能不错的工作，解决信息加密、远程接入等问题。但是，随着云的出现，网络边界逐渐消失，传统VPN的诸多弊端日益显现出来。

SDP是通过软件定义边界，能快速适应各种复杂网络拓扑结构，帮助企业快速构建统一的访问入口。相对于VPN，SDP能够实现应用隐身，降低网络暴露面。同时SDP能实现零信任的网络架构，对应用的访问进行精细化的身份权限管控，可以有效保护用户资产安全。

360基于SDP技术的的连接云平台是参照Gartner最新的SASE技术框架，结合零信任与SD-WAN，为客户快速构建高速、稳定、安全的访问管道。

第三问

吴洪声：近两年国际关系渐步迈入新阶段，你认为会带给信息安全和网络安全领域哪些市场格局上的变化吗？例如采用上我们可能会更加青睐于“中国制造”？

濮灿：没有网络安全就是没有国家安全，随着“IMABCDE”等新技术的发展，传统对虚拟世界的破坏已经可以转变为对现实社会的伤害。网络安全已经跟国家安全、国防安全、经济安全、乃至个人人身安全发生了紧密联系。

从攻防视角来看，攻击者已经从传统的小毛贼、小黑客，发展到具有国家背景的攻击力量入场，在未来一段时间内，APT将成为国与国之间网络安全对抗的主要方式。

第四问

吴洪声：其实随着国际形势的变化，我相信我们都能很明显的感觉到核心技术国有化的迫切性。但是我相信，这个过程是需要一定的时间，甚至可以说是任重而道远的。那么对于企业和国家而言，我们要怎么样面对技术封锁所带来的负面影响和和困难？

濮灿：技术的发展有其规律，在当前复杂的国际形势下，我们需要更加踏踏实实的攻克技术难题，整合资源，发挥优势。

第五问

吴洪声：在强调打破数据孤岛，实现数据互联互通的今天，DNS作为互联网的第一道大门尽管已经有30多年的历史，但仍然是整个互联网中较为脆弱的一环，企业尤其是中小企业如何保障数据安全，您有什么意见和建议吗？

濮灿：中小企业客户关注的数据安全主要是自身业务数据安全，其业务主要是以WEB对外提供服务，针对WEB安全，主要包含DNS安全和HTTP安全。

常见的DNS安全问题包括了DDoS攻击，DNS劫持，DNS投毒等，目前DNS服务商一般提供高防，DoH，DoT等DNS服务和产品解决DNS安全威胁。建议客户选择有实力的安全DNS服务，据我所知，DNSPod都有提供这些服务。

Web安全问题更为复杂，常见的攻击包括SQL注入、XSS攻击、文件上传攻击等，黑客通过各种攻击手段来盗取网站的用户信息或插入非法内容等方式牟利。针对中小企业对网站安全的需求，我们360推出了云探和磐云两款Web安全产品。云探提供Web安全监测服务，让客户可以更加了解自己的网站的安全状况，及时做出调整，保障网站自身的安全。而磐云为客户的网站提供SaaS化的安全防护能力，通过接入磐云零部署快速实现Web安全防护服务，提升客户网站的安全性。

第六问

吴洪声：关注DNSPod的用户也有很多个人站长，他们可能没有像大规模的企业一样有足够的财力和精力去关注网站的安全问题，但是网络安全解决方案对于他们同样也是刚需。你有什么易于采纳的建议可以和大家分享一下吗？

濮灿：中小企业关注的网站安全问题主要包括网站监测、网站防护、服务器安全三方面。市面上针对这些问题也都推出了很多免费服务的产品，比如安全狗、DNSPod、云锁等等。当然我们360也推出了相应的安全防护产品。

第七问

吴洪声：作为沃通的CEO，能不能用浅显易懂的方式来给大家科普一下，SSL证书的作用是什么？什么是国密算法证书，它又跟我们现在通用的一些证书有什么区别？

濮灿：简单来讲，SSL证书的主要作用就是实现HTTPS加密保护数据传输安全，以及验证服务器真实身份认证。实现HTTPS加密，可以避免数据明文传输造成的数据泄露、数据篡改、流量劫持等安全威胁；验证服务器身份真实性，可以防范钓鱼网站、钓鱼攻击等安全风险。

国密算法的SSL证书，在工作原理上和RSA算法的SSL证书是一样的，主要区别就在于，采用我国自主研发的SM2、SM3、SM4等国产密码算法及国密SSL安全协议，实现HTTPS加密和服务器身份认证。

很多人对国产的信息安全技术或产品普遍存在一定的误解，认为国产的没有国外的好。但事实上，SM2、SM3、SM4等国密算法体系，在安全性能上要优于国际RSA算法体系，具有抗攻击性强、CPU 占用少、网络消耗低、加密速度快等特点，可通过较短的密钥长度实现更高的安全强度，比如：256位SM2证书，加密强度等同于3072位RSA证书，远高于业界普遍采用的2048位RSA证书。

总结来说就是，国密算法的SSL证书与通用的RSA SSL证书遵循相同的工作原理，但是采用了自主可控的密码技术，保护数据传输安全和服务器身份可信，能够满足国密合规的需求；并且具备更好的安全性能，能够满足更高的网络安全防护需求。

第八问

吴洪声：虽然受近期国内外局势震荡，周边又慢慢出现了一部分推广国密算法证书的声音，但落到实处和现状来说，我们怎么用，在哪里用？

濮灿：基于目前国际局势和中美关系的变化，推动国密算法的应用是非常有必要的，而且是需要安全产业界尽快投入资源马上去做的事情。

第一个问题是，RSA算法体系已经不像我们想象的那么安全。首先，RSA算法本身是基于大整数因子分解数学难题(IFP)设计的，其数学原理相对简单，随着计算机运算速度的提高和分布式计算的发展，加上因子分解方法的改进，低位数的密钥破解已成为可能；其次，RSA算法被曝光可能存在美国NSA预置的“后门”，对RSA算法的安全性产生巨大影响。因此，现在各国都在加强自主密码算法的研发和应用。

第二个问题是，RSA算法SSL证书目前都由国外CA机构颁发，我国99%以上的电商、金融银行等网站系统，都在使用国外CA签发的RSA SSL证书。随着国际局势的变化，一旦出现贸易制裁等极端情况，RSA算法SSL证书等网络安全产品极有可能出现“断供”“吊销”等风险，那么我国互联网将面临大面积的网络瘫痪或流量明文泄露等安全威胁。

所以说，尽快推动国密算法的普及应用，建立国密数字证书体系，是保障我国网络空间安全可信的重要基石。

而针对国密证书怎么用、哪里用的问题，其实我国已经出台了相关法规政策标准并提出要求。《网络安全法》《密码法》以及等保2.0都相应提到采用商用密码技术对数据进行加密保护，维护数据完整性、保密性、可用性，以及保护通信传输安全等条款。基于PKI技术的国密数字证书可以用于保护通信传输安全、数据存储安全、软件代码安全、身份鉴别等不同应用领域。

第九问

吴洪声：很多用户可能会关心一个问题，现在许多免费的网站安全解决方案已经很成熟了。甚至包括证书，下发也很快捷。那么我们为什么还需要付费的证书呢？它的优势性在哪儿？

濮灿：目前很多网站都通过安装SSL证书来保障网站的数据传输安全。市场上确实有很多免费SSL证书，沃通CA不建议大家在网站上面安装SSL免费证书，因为有很多弊端。

免费SSL证书不安全，免费SSL证书仅需要域名验证不需要对企业和组织进行验证，申请容易，审核宽松，安全级别低，这样很容易被一些赌博、钓鱼、欺诈网站使用。SSL免费证书随时被注销，签发机构也不会给你承担责任，这个就像用免费主机空间一样，没有各种服务无稳定性可言。免费SSL证书使用受限, 浏览器兼容性差。比如：免费SSL证书只能绑定单个域名、不支持通配符域名、多域名等。免费SSL仅用于研究学习和基本测试。同时，作为网站访客来说，要注意辨别安装免费SSL证书的网站。

第十问

吴洪声：沃通作为国内领先的SSL证书签发CA，早在2014年就已经开始了采用国密算法签发SM2 SSL证书的研究，发展至今国密SSL证书市场已经在国内迅速拓展，在证书的全球性和通用性上我们又有哪些动作？

濮灿：我国发布自主研发的国密算法后，曾多次从法律法规层面要求金融银行等重要领域全面实现国产密码技术的应用。目前在相对封闭的内网或专用系统中，国密算法已经得到较好的应用，比如：密码芯片、加密卡、加密机、ATM系统、专用安全终端等。但在网站HTTPS加密这类依赖于开放互联网环境和基础软件生态的场景中，由于主流应用环境不支持国密算法，国密算法受到兼容性限制无法得到很好的应用。

沃通CA是最早一批研究国密证书应用的CA机构，重点攻坚国密算法应用于HTTPS加密、电子邮件签名加密、文档签名加密等面向开放互联网环境的应用领域。沃通在探索过程中，突破国密SSL证书应用面临两大技术难点，逐渐找到国密SSL证书应用的发展思路并成功落地实施。

一方面，由于我国尚未建立完善的支持国密算法HTTPS加密的软件应用生态，沃通CA通过研发改造基础软件和应用系统，以及与国内浏览器、操作系统、WAF厂商合作的方式，打造国密SSL证书全生态应用闭环，确保国密算法HTTPS加密的无缝全生态应用。

另一方面，针对目前国际通用浏览器不支持国密算法的情况，沃通CA率先独家推出“SM2/RSA双证书”部署模式，自适应选择加密算法和SSL证书，与360浏览器等支持国密算法的浏览器采用国密算法HTTPS加密，与不支持国密算法的国际通用浏览器采用RSA算法HTTPS加密，从而确保国密HTTPS站点兼容所有浏览器，实现国密合规的同时，保障国密HTTPS站点的可用性和全球通用性。

国密证书目前仅针对国内市场，国际市场因受到复杂国际政治因素的影响，需在国密证书在国内规模化应用后联合产业链上各合作伙伴制定战略，共同推进。

第十一问

吴洪声：随着移动互联网时代的高速发展，现在个人数据、信息安全屡次被推到风口浪尖，如何保障个人数据安全、减少个人数据泄漏，沃通在其聚焦领域有何解决方案？

濮灿：目前随着信息化提速，所有个人数据都已完成数字化、信息化，存储于服务器端（云端），并在互联网中明文流转。加强保护个人数据安全应该从数据本身入手，加密保护个人数据、加密保护数据的通信传输，从数据层面全方位确保数据本身的机密性。采用PKI技术就是最好的数据加密处理方法，它的四个属性数据机密性、身份真实性、数据完整性和行为不可否认性，全面保障个人数据从产生、传输到使用的全过程安全。

沃通CA提供SSL证书及国密SSL证书产品，帮助网站系统实现HTTPS加密以及服务器身份认证，防止个人数据在传输过程中被窃取、被篡改，防止用户误入钓鱼网站造成隐私信息泄露或钓鱼欺诈；提供电子邮件签名加密解决方案，加密保护个人电子邮件数据全程安全，验证邮件来源可信；提供文档签名加密解决方案，加密个人文档、文件数据，保护资料安全；提供云密码数据加解密存储解决方案，加密应用系统、数据库数据，保障数据使用过程中的安全。

第十二问

吴洪声： 微软在6月12日CAB Forum发布了最新的全球信任根认证计划，首次把“贸易制裁(Trade Sanctions)”列为微软全球信任根认证计划的评估条件之一，中国有可能成为继‘’古巴、朝鲜、叙利亚和伊朗”之后不允许全球CA签发RSA SSL的国家之一，但是我国99.99%的网站系统都是在使用外国CA签发的RSA SSL，在这样恶劣的国际形势之下我们是否做好了RSA SSL证书“断供”或“吊销”的准备？我们基于国密证书的全生态应用是否做好当“备胎“的准备？

濮灿：沃通CA通过与目前市面主流的浏览器合作完成国密算法和国密证书的适配支持、改造服务器软件国密支持模块、联合国内浏览器、操作系统、WAF厂商实现国密适配等方式，打造国密算法HTTPS加密无缝应用的生态闭环。如果出现“断供”或“吊销”等极端情况，采用沃通“国密/RSA双证书”方案的HTTPS站点，将自动切换至国密HTTPS加密通道，可通过国密浏览器继续访问和使用网站系统，防止RSA证书“吊销”导致网络连接无法访问，防止RSA证书“断供”导致网络流量无法加密、明文泄露。因此，沃通基于国密证书的全生态应用已经做好当“备胎“的准备！

用户只需要部署沃通“国密/RSA双证书”方案，正常形势下实现国密合规、全球通用；极端形势下成为“备胎”，确保网站HTTPS连接可用，数据安全传输，保障我国重要领域网站数据安全。

第十三问

吴洪声：为保障国家关键信息基础设施安全，政府出台了《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》的通知，其中明确要求关键信息基础设施安全必须全面应用密码技术来保障其安全。美国作为“根服务器“最多的国家强制要求所有政府网站和政务服务都必须部署HTTPS，但浏览我国的政府和政务网站还有很大一部分并没有部署HTTPS，能否分析下这一现状的发展趋势？在贯彻实施这一政策上沃通出台了哪些解决方案？

濮灿：我国政府和政务网站的HTTPS部署量确实不高，但随着政策的推行和安全意识的提升，这一问题在逐步得到解决，政府和政务网站的HTTPS部署量在稳步增长。沃通CA将联合全国CA机构，针对重要的政府机构和政务网站，全面推广国密SSL证书全生态应用方案，帮助更多政务网站不仅实现HTTPS加密，同时实现基于国密算法的HTTPS加密，采用自主可控的密码技术保护政务网站的数据传输安全和服务器身份可信。

栏目介绍：

大家好，我是吴洪声。

不知不觉，DNSPod十问这个栏目，已经做了第十四期。本来这个栏目叫洪声十问，一期十个问题。然而细心的读者可以发现，问题逐渐变为十一问，十二问。因为在实际采访过程中我发现，十个问题的答案不足以将嘉宾思考上的高度展示给大众。

此外，这个栏目受邀嘉宾的领域也在逐渐的扩大，从域名圈，站长圈到程序员圈，创业者圈。作为有着丰富行业经验的大拿们，他们在这个栏目留下了他们的真知灼见。比如易名中国金小刚说的：“别想着持有对社会有不良影响的域名，这是一个底线。”比如CSDN创始人蒋涛说的：“对于一个技术驱动的公司而言，不断更换新人并不是好事，技术要有一个积累的过程，应该鼓励这些技术人去提升，对技术人员的回报或薪酬、等级要相应地跟管理平行。”

未来我们希望这个栏目的影响力会覆盖更加多元的受众。把更多正确的理念去对外传递。所以也欢迎各位在评论区留下你想看到我对话哪位嘉宾，还有你想问的问题，我们邀请你共同成为“吴洪声十问”栏目的提问者，发声者。（栏目统筹：赵九州 责任编辑：张洁 胡琼文 赵晶）

SMB

腾讯云中小企业产品中心

    腾讯云中小企业产品中心（简称SMB），作为腾讯云体系中唯一专业服务于8000万中小企业的业务线，致力于为中小微企业提供全面完善贴心的数字化解决方案。产品线覆盖了企业客户从创业起步期、规范治理期、规模化增长期、战略升级期等全生命周期，针对性的解决企业的信息化、数字化、智能化的生产力升级需求。本中心还拥有两大独立腾讯子品牌：DNSPod与Discuz!，在过去15年间，为超过500万企业级客户提供了强大、优质、稳定的IT服务。

    SMB团队成员大多都有过创业经历，有获得过知名VC数千万投资的，有被一线互联网巨头以数千万全资收购的，也有开设数十家分公司后技术转型而失败倒闭的，我们成功过，也失败过，我们深知创办企业的难处与痛点，深刻的理解中小企业该如何敏捷起步、规范治理、规模化增长与数字化升级发展，我们会用自己踩坑的经验给出最适合你的答案。

    腾讯云中小企业产品中心，助力中小企业数字化升级的好伙伴。

想了解更多官方资讯？

扫描阿D二维码邀您加入DNSPod交流群