F5 Networks台灣暨香港區技術總監莊龍源
當瀏覽器出現一個掛鎖圖像時,我們很自然的會假設該網站正使用 SSL 以確保我們的通訊安全。它同時也告知消費者該網站是安全的。根據 CA Security Council 的 2015 消費者信任調查,只有 3% 消費者會將他們的信用卡資訊提供給沒有掛鎖圖像的網站。
此種安全印象的影響性並不局限於消費者。 F5 最新的應用交付現狀調查報告顯示,已經或有計畫建置「SSL Everywhere」的受訪者表示,對於他們企業承受應用層攻擊的能力比較有信心,在 1 到 5 的信心評分中獲得 3 或更高的評價。
事實是,大多數人無法告訴你 SSL 代表什麼意義,更別說是描述它的運作方式。他們只知道那是一種確保應用或網站交易,包含潛在的機密資訊的安全機制。
那有一部分是科技專有名詞描述的錯。我們用 SSL 來描述協定 (RFC 6101),以及作為描述一個安全連接的通稱。 SSL 是安全性的通稱,就好像 Google 是搜索引擎或者舒潔是衛生紙的代名詞一樣。
實際上,HTTPS 並不是真的需要 SSL 。 HTTPS 的「S」代表安全 (secure),而且它只簡單的要求提供確保二個端點,例如一個瀏覽器和一個 Web 網站之間安全連接的方法。而且,越來越明顯的是,其所代表的意義事實上是指在 TLS 協定(而非 SSL)之上的 HTTP 。
這是一個很重要的區別,因為儘管它們有著相同的根源,但 TLS 並不是 SSL,SSL 也不是 TLS 。它們是不同的協定,各有它們本身獨特的挑戰、問題和衝擊效應。二者都是以相同的方式確保安全連接 – 它們使用安全憑證以進行認證,以及使用公鑰/私鑰加密 – 然而雙方仍存在著建置上的差異性。
我們為何要關注這件事?你應該在意,因為最新的 Web 應用協定 HTTP/2 和 SPDY 並不支援 SSL 。它們支援的是 TLS 。它們本身並沒有這樣的要求,不過支援這二項協定的瀏覽器只能在 TLS(而非 SSL)之上提供該項支援。
必須承認的是,今天使用 HTTP/2 或 SPDY 的網站並不多,但數量正在成長。在 W3CTech (July 2015) 報導中指出,新的 HTTP/2 標準已於 2015 年 5 月發行最終版,現在獲得所有網站的 0.4%(高於 7 月初的 0.24%)以及頂尖 1000 網站的 7.5% 採用。也就是說頂尖的 1000 網站中,現在有 7.5% 藉由 HTTP/2 提供內容服務。
我們談論的並不是只侷限於瀏覽器和伺服器。我們同時也必須思考在整合上所代表的意義,當使用頂尖 1000 網站的一些 API 時,或許會被迫非僅採用 HTTP/2 或 SPDY,而且也包括 TLS 。 Google 所有公共服務的加密都是使用 TLS 。如果你要整合 Google 的一些功能,就應注意他們使用的是 TLS 而非 SSL 。因為這有著實質上的差異。
另外還必須注意的是它涉及到商業上一些盤根錯節的問題。在支付卡產業 (PCI) 標準規範下,SSL 在 2016 年 6 月 30 日之後不得繼續使用。那個時間點之後,將明確要求採用 TLS 。這意謂著必須做一些改變以維持遵循 PCI 。當然,你會做相應的配合,因為如果不遵循標準的話將面對很多複雜的挑戰。例如,信用卡發行者會要求較高的商家帳戶費用和罰鍰,或者完全取消你的支付與交易處理資格。如果發生權利侵害事件,你的公司將因為未能在安全性上做到正當注意調查 (due diligence) 而面對較高的法律訴訟與罰責風險。
當然,如果說期望你此刻就要從 SSL 轉移到 TLS,也是不實際的。畢竟,雖然 TLS 是以 SSL v3 為基礎,但它並非 100% 向下相容,而且需要做一些組態變更才能取消 SSL 以迫使使用 TLS 。組態變更通常需要進行一次重新啟動。對一個大規模環境而言,這個程序必然會造成服務中斷而且耗費時間。
不過,現在正是開始認真考慮的時刻,你必須決定還要支援 SSL 多久以及何時要轉移到純正的 TLS 。