前言
近年来,用户数据泄露事件频发,大众也逐渐意识到到了网络数据加密的重要性。谷歌、苹果、腾讯、阿里、360等互联网巨头纷纷加速推进全业务线HTTPS加密措施的落地,其主要目的是杜绝各种流量劫持和数据泄露问题,而HTTPS的加密依赖于CA数字证书和PKI(公钥基础设施)体系。
这一领域中DigiCert坐拥了大部分版图,从2003年成立,相比其他厂商走的复合型业务路线,16年来DigiCert始终专注于数字证书和加密、Web PKI领域的耕耘,不仅自己做精、做强了,也引领了行业的技术和商业发展,这点难能可贵。尤其是在2017 年收购了赛门铁克曾占全球网站安全市场份额较大的网站安全业务,并妥善处置了当时不断发酵的争议,此后发展愈发壮大,牢牢占据了全球市场的领先地位。
趁着DigiCert首席营收官Rob Hoblit来到中国之际,笔者与他进行了连线,就目前大量移动设备、IoT设备激增之后,数据流在不同平台和设备间不断流转的情景下,聊一聊下一步DigiCert打算怎么做。
Web PKI助力数据安全
从DigiCert掌握的情况和业内专家、学者的研究成果来看,数据丢失和泄漏是企业面临的最严重的网络安全风险,其次是不安全的Wi-Fi和网络链接、网络欺诈、钓鱼攻击、间谍软件、加密失效以及不正确的会话处理。特别是在当今无处不在的移动和物联网应用情景中,面临的风险比桌面端更大,尤其是在认证和加密方面,问题很多。
Rob强调,数据在传输的各个环节中均面临风险,尤其是当前社会工程学攻击手段迭出,企业和个人的数据往往会被意想不到的方式偷走。根据DigiCert的统计,移动端的攻击者主要通过恶意电子邮件、欺诈网站和假冒应用来诱骗用户发送数据,而物联网领域随着前期的爆炸式增长之后也不断趋于成熟,安全问题也随之显现出来。这些问题的根源大部分出在加密的实现上,包括TLS证书或SSL未能良好部署和处于监控之下,不像在桌面端一样实现了标准化。
过期和被被窃取的数字证书为移动用户带来了很多安全挑战。举个例子,从用户一侧来看,移动用户获得的视觉线索和提示太少了,不像桌面端Web浏览器会提示证书过期或者页面危险等。现在虽然有部分移动浏览器添加了一定的提示功能,但还远远不够。
在目前全面移动化的情景下,数字证书作为一种网页数据的主要保护手段已经不可或缺,使用数字证书后即使发送的信息在网上被他人截获,甚至丢失了个人的账户、密码等信息,仍可以保证用户的账户及资金的安全。
所有与数字证书相关的各种概念和技术,均归属于PKI( Public Key Infrastructure 公钥基础设施)体系。PKI通过引入CA、数字证书、LDAP、CRL、OCSP等技术并制定相应标准,有效地解决了公钥与用户映射关系,集中服务性能瓶颈,脱机状态查询等问题。
Rob表示Web PKI技术有两点比较关键,其一是在应用程序的Web分发方面实现代码签名,其二还能提供一个身份组件,可确保终端了解正在下载或执行的应用程序的所有者,相信该应用程序与原始所有者发布的应用程序相同,并且没有被篡改。
引入Web PKI解决方案,能够帮助用户确保与他们正在产生业务往来的网站身份不存在欺诈的可能性,同时对过程中传输的数据进行加密,即使有人控制了链路或者能够读取网络流量也不会产生严重后果。所以整个Web PKI的体系框架围绕着数据安全出发,协助人与人、人与实体之间的安全交互。
物联网是下一个增长点
可能大多数人知道DigiCert是源起于它的TLS/SSL证书业务,Hob表示:
Digicert的业务线很精简,但是具体的产品比较丰富。我们提供多种不同类型的证书,其中最有名、占我们业务收入主要部分的是TLS/SSL证书,用于认证网站所有者,确保他们有权颁发该网站的证书。
实际上,除了用于域验证的TLS/SSL证书业务,端点和服务器之间的数据加密、确保应用程序不被篡改的代码签名、保护电子邮件往来的S/MIME证书也是颇受市场欢迎的业务。随着IoT市场从刚刚兴起到走向成熟,面向工业控制领域的设备证书是DigiCert看重和尝试突破的一个方向。
物联网领域对于设备证书的需求很大,厂商也在非常积极地寻求解决方案。在这种情况下,我们针对工业领域提供了设备证书,用于验证设备是否正确加入网络以及是否正确地在网络中共享数据。
Gartner在2018年进行的调研显示,39%的受访者表示安全性是物联网落地的最主要技术障碍之一,到2020年全球物联网安全支出将达到24.6亿美元。近年来,DigiCert TLS证书产品在物联网领域的应用增长很快。
与物联网领域的客户谈合作时,最大的挑战是物联网设备带来的体量,一方面是优势,能为为我们带来很多收入。另一方面技术挑战难度很高,我们需要面向应用提供多种解决方案,其中生态系统的设计最为重要,我们与合作伙伴、客户一起努力,做了很多仔细的规划和尝试。
通常来说Web服务器证书的发行需要认证和授权,且要遵守CA/Browser论坛和WebTrust标准,只能一次发布一张证书。而物联网设备体量惊人且增速明显, IoT 证书系统要兼顾速度与效率,必须支持批量发行。
举个例子,有的厂商一次就需要10万份证书安装在新生产的设备中。针对这种情况,DigiCert 针对客户需求开发了一套针对性的系统,批量发行这批证书以确保厂商能及时为数量庞大的设备安装证书,加速产品上市进程。解决了技术问题之后,未来物联网市场惊人的体量优势也将为DigiCert带来可观的收入。
客户体验是关键
对于DigiCert为什么能够牢牢占据行业领先地位,Rob表示他们的杀手锏是面向不同客户,推出高度自定义的解决方案,实现极高的用户体验。
个性化的服务非常重要,即使架构设计和解决方案没有问题,能够为客户提供满足要求的安全保护能力,但他们如果没有被纳入到关键的过程中或者告知地不充分,不了解前因后果,他们仍然会对网络交互活动缺少安全感。
Rob拿收购赛门铁克证书业务举了个例子。DigiCert在赛门铁克证书产品的基础上,增加了多种高度自定义的认证功能和专属服务支持,拿出了Digicert Secure Site和Digicert Secure Site Pro两款产品。假如用户的证书有问题,DigiCert提供快速的额外保修支持。除了服务的提升,DigiCert还添加了对搜索中心平台的访问支持,形成了业界领先的证书管理和控制平台,用户可通过Digicert Secure Site和Digicert Secure Site Pro进行接入。此外,DigiCert马上就会在其网站上发布一个日志监控工具,主要针对证书透明性和唯一性。
所以不断地增加产品和业务的附加值是DigiCert的思路,也许正是这样的方法论让DigiCert盘活了原先赛门铁克岌岌可危的证书业务。
我们计划每季度发布一次功能更新,让客户能够时刻掌握最新技术。特别是Digicert Secure Site Pro的产品价值所在除却技术本身的先进性之外,通过购买产品,用户能够接触到最佳的Web PKI技术和服务。我们的战略是继续加大技术方面的投入,为客户提供更全面的安全支持。
作为DigiCert首席营收管,Rob不忘为公司的产品打一波广告,不过笔者看来,还比较中肯。从现状出发,包括数字证书在内的Web PKI框架下的解决方案,不断引入新的算法和自动化技术,所以持续支持和技术迭代非常关键,如果在算法上有误或者持续跟踪能力不足导致证书错误或者过期,结果可能还不如不要部署。就像硬币的两面,技术能力与持续服务相结合才能为用户提供最佳的支持,也是DigiCert开展业务的抓手。
DigiCert已经建立了一个全新的现代化数据中心,采用最前沿的技术来托管和提供实时在线的Web PKI解决方案。DigiCert还有一个专门实验室,用于未来技术的研究就和验证。Rob透露,改实验室的最新研究涉及到量子时代的证书安全能力。也许再有五到十年量子计算就可以走入社会的日常运行,届时它将对现有的RSA证书产生不可估量的挑战,等量子计算落地了再升级公司和软件生态系统已经来不及了。
我们创造了业界第一种”后量子(Post Quantum)“加密技术,正在物联网领域中进行测试,很快就会发布相关声明。我们希望企业能够在面临新一代技术浪潮时能够从容应对挑战。在这个领域,微软是我们的合作伙伴,未来我们也将和更多量子和密码领域的公司展开合作。
展望未来
对于DigiCert而言,中国是非常重要的市场,在多个战略合作伙伴帮助下深入到了各领域的市场。除了在中国拥有一支团队外,技术投入也是中国市场看重的一点,因此DigiCert还在托管能力方面进行了大量投资,实现了本地托管OCSP响应,大大提高了加载速度。
我们的计划是保持与中国伙伴的持续合作,并提供最新的技术,结合本土伙伴的专业知识和实践经验为中国客户提供更有针对性的服务和支持,让客户能够看到我们的附加值。此外,本土合作伙伴还够帮助我们实现合规,进而帮助客户合规。
随着《网络安全法》的逐步推进以及”等保2.0“的正式发布,数据安全已经成为国内企业的不能忽视和预约的红线,从这个角度来看,国内法律法规趋于严格对DigiCert是个利好。
实际上我们并不靠数据赚钱,而是通过保护数据来实现营收。因此,只要是利于隐私保护的,我们都会欢迎且主动接受。
Rob如是说。Digicert有一名首席隐私官,职责是了解全球范围内关于数据隐私的法律和法规,确保公司的业务符合当地法律并认真听取当地人士的意见。Rob认为DigiCert已经超越了产品提供商的角色,但凡对数据隐私有疑问的客户均可向他们寻求在网络传输中保护数据的支持和资源。在中国,DigiCert不仅遵守了相关网络安全法律法规,同时持续跟进这些法律法规发生的变化和改进,不仅自身实现了合规,同时还帮助合作伙伴和最终用户消除法律风险。
结语
去年,DigiCert参加了FIT 2019 大会,现场我们邀请其产品与标准副总裁 Dean.J. Coclin 做客采访间,聊了聊当前加密证书在物联网市场等新兴市场中的应用。近日,DigiCert的官方微信公众号“DigiCert_BJoffice”正式上线。
最近两年DigiCert动作频频,不难看出,随着国内对于数字证书相关解决方案的需求不断提升,DigiCert在中国的业务不断下沉到更深、粒度更细的领域,客户涵盖银行、电子商务、技术、医疗保健与制造企业,且业务范围也从 Web 加密拓宽到 IoT 等新兴市场的身份验证、加密等,在与中国客户进一步沟通、为本土市场提供更有针对性的服务的意愿愈发强烈。
连线即将结束时,Rob表示他有话想对中国客户说:
我谨代表Digicert公司欢迎您加入我们在中国的社交媒体平台,希望这个频道能够为我们提供更多对话的机会,讨论有关PKI、TLS和其他技术,并分享我们在中国活动信息。世界看起来很大,也存在着地理距离、语言障碍和文化差异,但我们的希望是给通过微信平台给我们一个团结在一起的机会,共同努力保护中国的网民。
*本文作者:Freddy,转载请注明来自FreeBuf.COM
来源:freebuf.com 2019-05-29 10:30:57 by: Freddy
请登录后发表评论
注册