互联网发展20多年,在浏览器中输入 HTTP 格式的网址已经成为大家的习惯,但是随着网络安全事件的频发,数据传输安全面临严重的挑战,数据劫持、数据篡改、数据完整性被破坏等诸多数据传输安全问题频发,HTTPS 已取代 HTTP 成为传输协议界的“新宠”。
什么是 HTTPS 协议
HTTPS 协议是以安全为目标的 HTTP 通道,是 HTTP 的安全版。即 HTTP 下加入 SSL 层,可以认为是 HTTP + SSL/TLS,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。
简单来讲 HTTPS 协议就是使用内容加密、身份验证层等安全手段保证数据传输的安全性和完整性。
HTTPS 协议的发展
早在2014年,由网际网路安全研究组织 Internet Security Research Group(ISRG) 负责营运的 “Let's Encrypt”项目就成立了,意在推动全球网站的全面 HTTPS 化;2016年6月苹果公司也要求所有 IOS Apps 在年底全部使用 HTTPS;同年11月,Google 还宣布,将在明年1月(2017年)开始,对任何没有妥善加密的网站,竖起“不安全”的小红旗。
截止目前,纵观国内百度已经上线了全站 HTTPS 的安全搜索,默认情况下就会将 HTTP 请求转成 HTTPS 请求。淘宝、天猫也已完成了规模巨大的数据“迁徙”,将百万计的页面从 HTTP 切换到 HTTPS,实现互联网加密、可信访问。
HTTPS 协议的原理
HTTPS 传输协议之所以安全,关键在于数据加密和身份验证,我们在使用 HTTPS 传输协议与 WEB 服务器通信时要注意以下几个步骤:
(1)客户使用 HTTPS 的 URL 访问 WEB 服务器,要求与 WEB 服务器建立 SSL 连接。
(2)WEB 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与 WEB 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)WEB 服务器利用自己的私钥解密出会话密钥。
(6)WEB 服务器利用会话密钥加密与客户端之间的通信。
HTTPS 身份验证是在客户端和服务器之间进行且解密私钥只在 WEB 服务器上存留,从而保证了连接建立之后数据传输的安全性,数据从客户端出来就已经是密文数据了,用户在任何网络链路上接入,即使被监听,黑客截获的数据都是密文数据,无法在现有条件下还原出原始数据信息。
HTTPS 成审计盲区
在 HTTPS 普及之前,国内绝大多数网站使用 HTTP 传输协议,由于 HTTP 是超文本传输协议,其传输过程中信息是明文,由于 HTTP 传输协议明文的特点在数据劫持方面提供了便利,虽然不安全的数据传输会导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题,但是也正是由于 HTTP 协议无法加密数据,所有通信数据都在网络中明文“裸奔”。各网络安全厂商通过网络的审计设备及一些技术手段,就可还原 HTTP 报文内容,实现 HTTP 协议的审计。
相较于 HTTP 协议 HTTPS 则是具有安全性的 SSL 加密传输协议,其传输加密的特性保证了数据传输的安全性,同时也给 HTTPS 的审计带来了挑战,由于 HTTPS 传输协议其传输特点是先加密再传输,传输数据在网络上始终处于加密状态,而负责解密的私钥保存在 WEB 服务器上,即使能够实现数据的劫持,所获取的数据也是加密数据,在没有私钥的情况下很难实现数据的解密,这也导致众多安全厂商在针对 HTTPS 审计的问题上束手无策。
各单位内部人员使用加密的 HTTPS 协议违规外发事件层出不穷,甚至有诸多案件中内部人员直接使用加密的单位邮箱进行数据外传,本单位的邮箱在单位使用,上网管理系统、防火墙上必然不会进行任何的访问限制,这也致使看似最安全、最合规的渠道变成了数据泄露的最大盲区。
传统审计手段无法针对 HTTPS 加密协议进行审计,数据泄露事件无法第一时间告知管理人员,对违规人员的追溯更是无从谈起。提高敏感数据泄露事件的感知能力,突破 HTTPS 等加密协议的审计盲区迫在眉睫。
