警醒丨俄罗斯SSL证书被大规模吊销、停用
不知道有没有关注过俄罗斯网站使用情况的小伙伴们,最近一段时间我国和俄罗斯加强了多方面的贸易合作往来,在访问俄罗斯的一部分外贸网站时发现了基本所有的俄罗斯外贸网站都无法正常进行访问。这引起了我的好奇,于是我开始检索了一些俄罗斯的网站,发现了一些令人不寒而栗的事实—以美国为首的西方国家在几天内吊销并停用了所有俄罗斯的域名SSL证书!这意味着被吊销证书的网站无法使用https访问,对于线上支付的域名平台、俄罗斯的金融机构、俄罗斯内部的科研部门官网造成了噩梦般的打击!
不论是俄罗斯还是乌克兰均遭到多起网络攻击,其中主要涉及外交部、教育部、内政部、能源部、安全局等政府部门和国防部、武装部队等多个军方网站以及银行、电信、电力、交通等关键基础设施。随着国际和民间黑客组织的加入,两方的战争快速蔓延成一场全球化的网络信息战。
SSL证书的概念相关:
可能很多小伙伴对于SSL证书了解并不多,先带大家用白话文简单了解一下什么是SSL证书,SSL证书有什么用,对于大型企业和金融机构等机密单位,无法使用SSL证书意味着什么。
首先SSL证书是运用于IP或域名服务器之上,实现网络数据传输加密的一种证书,在不使用SSL证书时,网站服务器和浏览器端口数据传输的形式是http,该访问方式是一种明文传输,意味着在进行网络信息交互时,所有信息都是公开的,只要别人需要获取,那么可以理解为大众都可以知道用户在用浏览器访问网站时做了什么样的操作,这对于一部份个人网站或者是小微企业做形象展示是没有问题的。
但是对于一些电商企业、中型企业、大型企业、金融机构、政务单位、高等院校、科研组织等等站内服务器存储有大量隐私信息的网站而言,毫无疑问是不可以使用传统HTTP明文传输的,这会导致大量的用户信息泄露不说,对于其内部的核心信息机密也是非常不友好的。
举个例子:如果我们在某个电商平台购买东西,在支付时如果我们的账号信息和支付密码全部都是明文向大众开放的,这会引起多么严重的后果;如果科研单位在站内存储有非常机密的信息或是先进技术,但是此时网站内是明文传输的,这又会造成多么严重的后果。这类情况无疑是对公民信息安全和国家网络安全极大的安全隐患。
所以各位在访问重要的网站时,可以去关注一下,该网站是否是实现了https访问的,以及网址前端是否是有个绿色小锁标志的安全访问。这就是实现了https访问的情况。
那为什么原本的商业行径会上升到政治打击呢?
说实话,这在一开始的时候也令我费解,俄罗斯作为正儿八经的五常之一,还是“上三常之一”,进行正常的商业活动需要使用到SSL证书,欧美等国家难道不应该秉持着买卖的公正性和合法性吗?既然卖给你证书了,你又有什么权利吊销掉人家的证书呢?让人家国家的网络安全在2022年受到了巨大的冲击!卖证书的时候说是,国家矛盾并不会影响到商业行为,实际做出的事情却让人不寒而栗!
如今我国和美国为首的西方国家关系也并不融洽,可以给大家看看历年以来中国企业受到仅美国制裁的数量:
自2018年至2021年,仅美国一国制裁的中国企业383家!而华为等民族品牌是在其中占比比较较大的,其中不乏咱们的国企、央企。
至2303年七月,你制裁企业也就罢了,公然对我国的20余所高校、少数中学也实时了制裁!颠覆了我的世界观,这就是所谓的大国格局吗?
西北工业大学以及附属中学被美国制裁,中国的企业及大学走自主研发的道路,管他美国何事,越是制裁我们的企业和大学越多,就说明中国发展的越好,对美国的威胁就越大,说明我国的发展路子是对的。
但是说这个事儿,还是希望引起国人的警惕,毕竟美国也好、欧洲也罢,目前证书的超强垄断地位还是在别人手里,2022年2月24日俄乌战争爆发开始,Cogent通信干线切断了与俄罗斯供应商的联系、Sectigo停止了向俄罗斯人发布SSL证书、Namecheaper也停止了对俄罗斯域名的维护等。
令人意想不到的是Sectigo(原Comodo)这个拥有着全世界最大签发量的品牌居然会率先停止并吊销了所有俄罗斯地区的SSL证书。
随后大家常见的各个国际品牌纷纷切断了对俄罗斯的SSL证书、甚至是域名注册服务。类似于美国的Digicert(包含子品牌:GeoTrust、GlobalSign、Rapid SSL);波兰的Certum;美国的Sectigo(Comodo)就不说了,人家动作最快。比利时、日本的GlobalSign妥妥的子承父志也不说了,至此所有经由国际认证的SSL证书全部不对俄罗斯提供服务。
如何杜绝这样的情况:
这几天我在网上看到很多人说使用国密算法可以,但是需要清楚一件事,国密算法只是算法的一种,目前的一些国产证书使用国外的根证书,在算法上进行了优化,这并不能彻底的打上纯国产的自主研发标签。
目前能够完全自主的实现国内验签,数据不出境的也就CFCA、SHECA、JoySSL,目前在签发时是国内服务器访问用户域名服务器,不会出现其他CA机构验证域名所有权时,需要用到国外服务器访问用户的域名服务器。
类似于国内的政务云,是完全杜绝国外服务器访问的,这是为了杜绝重蹈俄罗斯覆辙的一种有效的方式。
申请国内验签、数据不出境的SSL证书方式:
第一步:打开JoySSL,并注册账号,注册时填写注册码230912即可申请专业版纯国产自主SSL证书,99.9%兼容率,国外浏览器一样兼容,支持国际算法和国密算法,有专门的客服协助部署安装服务。
第二步:可以在JoySSL上提交选择好的证书类型
不同于其他证书,JoySSL支持国内验签,可以确保数据不出境,在使用过程中可以完全规避签发时国外服务器访问域名内信息。
第三步:填写好域名信息,单位信息后验证域名所有权,完成后1-5分钟内即可完成证书签发。
第四步:安装部署上域名服务器,如果不会部署安装也可以请求工作人员协助安装部署。
完成之后即可实现网站的https加密访问。
版权声明:
作者:dingding
链接:https://www.techfm.club/p/131022.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论