H T T P S 的 「 S 」 不 代 表 S S L
香港電腦保安事故協調中心最新披露2015年處理的4928宗保安事故中,上升案例主要來自網絡釣魚攻擊,倍增233%。286宗個人流動裝置事故也較2014年增加86%。2016年網站伺服器和流動裝置將繼續面臨嚴峻挑戰。
相信讀者都曾留意某些網址會出現HTTPS並帶有鎖匙圖像,自然會假設該網站正使用SSL以確保用戶通訊安全。它同時也告知消費者該網站的安全性。根據CA Security Council的「2015消費者信任調查」,只有3%消費者會將他們的信用卡資訊提供給沒有鎖匙圖像的網站。
此種安全印象的影響性並不局限於消費者。F5最新的應用交付現狀調查報告顯示,已經或有計劃建立「SSL Everywhere」的受訪者表示,對於他們企業承受應用層攻擊的能力比較有信心,在1到5的信心評分中獲得3或更高的評價。
事實是,大多數人無法告訴用戶SSL代表什麼,更遑論描述其運作方式。他們只知道那是一種確保應用或網站交易並保護潛在機密資訊的安全機制。這部分是由科技專有名詞描述的錯誤所造成。我們用SSL來描述協定(RFC 6101),其實是一個安全連接的統稱,就好似Google是搜索引擎或者Tempo是紙巾的代名詞一樣。
因此HTTPS並不是真的需要SSL。HTTPS的「S」代表安全(secure),只簡單要求提供確保二個端點之間——例如一個瀏覽器和一個Web網站——安全連接的方法。相反,其所代表的實際意義是指在TLS協定(而非SSL)之上的HTTP。這是一個很重要的區別:儘管TSL與SSL有著相同的根源——兩者都以相同的方式確保安全連接,都使用安全憑證以進行認證並使用公鑰/私鑰加密——但它們是不同的協定,有各自本身獨特的挑戰、問題和衝擊效應,並存在部署上的差異。
我們為何要關注這件事?因為最新的Web應用協定HTTP/2和SPDY並不支援SSL,而支援TLS。雖然它們本身並沒有這樣的要求,不過支援這二項協定的瀏覽器只能在TLS(而非SSL )之上提供該項支援。現時使用HTTP/2或SPDY的網站並不多,但數量正在成長。W3CTech在2015年7月的報導中指出,新的HTTP/2標準已於2015年5月發行最終版,現在獲得所有網站的0.4% (高於7月初的0.24%)以及頂尖1000網站的7.5% 採用。
這還不只局限於瀏覽器和伺服器。在整合和使用頂尖1000網站的一些API時,或許會被迫採用HTTP/2或SPDY,而且也包括TLS 。Google所有公共服務的加密都使用TLS,如果你要整合Google的一些功能,就應注意他們使用的是TLS而非SSL。
另外還必須注意的是商業上一些盤根錯節的問題。在支付卡產業(PCI)標準規範下,SSL在2016年6月30日之後不得繼續使用。在此之後將明確要求採用TLS。這意謂著我們必須做一些改變以維持遵循PCI,否則將會出現各類挑戰,例如信用卡發行者會要求較高的商家帳戶費用和罰款,或者完全取消支付與交易處理資格。如果發生權利侵害事件,你的公司將因為未能在安全性上做到盡職調查(due diligence)而面對較高的法律訴訟與罰責風險。
當然,如果立刻就要從SSL轉移到TLS也並不實際。畢竟,雖然TLS是以SSL v3為基礎,但它並非100% 向下相容,而且需要做一些架構變更才能取消SSL以迫使使用TLS。架構變更通常需要進行一次重新啟動。對一個大規模環境而言,這個程序必然會造成服務中斷而且耗費時間。不過,現在正是開始認真考慮的時刻,你必須決定還要支援SSL多久以及何時要轉移到純正的TLS。
作者: F5 Networks 台灣暨香港區高級技術總監莊龍源
