何为Web安全2.0?
发布时间:2023-04-16
一、Web安全1.0时代
Web网站从上世纪90年底开始普及使用,是http明文传输时代,因为当时的互联网仅用于信息发布和浏览。
随着网上支付的应用,明文传输的http协议就无法满足安全要求了,浏览器厂商Netscape公司于1994就发明了SSL
协议,采用SSL证书实现https加密传输,保障从浏览器到服务器之间的自动加密传输。
这样,Web安全就进入了1.0时代,从此Web不再是明文传输,能有效保障Web信息的传输安全。
数据窃取、SQL注入、网页篡改、网站挂马等各种安全事件频繁发生。
Web安全的另一支技术路线就出现了 - Web应用防火墙(WAF),就是为了防护Web网站不会被攻击,会分析每一次连接是否是恶意连接,WAF会放行正常用户访问网站资源而拒绝恶意攻击访问。
有了WAF,Web应用就安全了,就不用担心各种网站攻击了。
所以,有些用户为网站部署了SSL证书,有些用户为网站部署了Web应用防火墙,有些用户则两者都采用了。
但是,https加密只解决了Web应用的传输安全,用户必须向CA申请SSL证书并手动部署SSL证书到服务器上,或者在服务器上安装一个ACME客户端软件自动申请SSL证书和部署SSL证书。
而WAF则只解决了网站的安全防护,并不管用户是否是明文传输访问网站数据这事。
即使是支持部署SSL证书的WAF系统,仍然需要用户人工申请SSL证书和部署SSL证书到WAF上。
这两个不同的Web安全技术方向都已经无法适应云计算和大数据的发展需要,特别是虚拟主机用户无法安装SSL证书,使得大量的采用虚拟主机的网站处于非常不安全的状态!
为此,Web安全1.0需要升级,在Web安全1.0的基础上把这两支不同的技术结合在一起,升级为 Web安全2.0,并作为一种云服务来为用户提供Web安全服务。
二、Web1.0向Web2.0过渡时代
Web安全2.0为云原生服务,把云密码服务与云WAF服务紧密结合起来,实现全自动为网站安全配置SSL证书和配置Web应用防火墙服务,全自动为网站提供Web安全云服务,而无需人工干预,用户无需向CA申请SSL证书,也无需在服务器上安装什么软件,只需使用Web安全云服务就可全自动实现https加密和WAF防护,这就是Web安全2.0。
Web安全2.0时代彻底结束了需要人工处理的费时费力的旧时代,全自动实现了所有网站的普惠安全,适应了云计算和大数据安全的需要,必将受到所有网站用户的欢迎。
所以,网站的可信身份同https加密和WAF防护一样重要,而网站身份的展示应该由浏览器来完成,在地址栏显著显示网站的可信身份信息。
对于部署了已经认证网站身份的OV SSL证书和EV SSL证书的网站,浏览器在地址栏直接展示证书主题中的单位名称。
而对于部署了没有认证网站身份的DV SSL证书的网站,则用户可申请网站可信认证,一样可以在浏览器地址栏展示已认证的网站的单位名称。
网站身份可信同https加密和WAF防护一样重要,为Web安全2.0时代的三个不可或缺的重要元素。
不信任Web流量,由Web应用防火墙始终验证每次Web连接,放行正常连接和拒绝恶意连接。
不信任没有通过认证的网站,因为欺诈网站和假冒网站也可以实现https加密和WAF防护。
让我们迎接Web安全2.0时代的到来,让Web应用更加安全可信。