達友科技

當Google、Facebook等全球級大型網站採用HTTPS加密,作為預設連線方式,臺灣其實也有一些網站已經實施,呼應這股趨勢。

根據臺灣新創資安公司Lucent Sky的評估與觀察,以Alexa目前公布的臺灣一百大網站的清單來看,他們發現,在使用者登入系統或或存取到機密敏感資料頁面,有53個網站會使用HTTPS來存取;若在其他網頁使用HTTPS且數位憑證有效的網站,有37個;若是更進一步預設使用HTTPS的網站,則有16個。

對臺灣企業來說,當前存取HTTPS流量規模,是否跟過去有很大不同?

代理Websense的達友科技副總經理林皇興,本身也擔任資訊安全顧問多年的他,看到相關的情勢已經有所轉變。在5到10年之前,原本HTTP和HTTPS之間的比重大約是8:2,後者占比不會超過1到3成,但近兩年來,若用戶端環境的政策允許使用者存取一些公開網站,例如Facebook,許多單位都會因此面臨HTTPS流量高過HTTP的現象。由於這些站都是全程使用SSL/TLS加密,很多資安管理上的盲點就開始發生了。

以前,這個「洞」很小,現在,「洞」已經越來越大。

因為,在上述的狀況下,負責管理的IT人員可能只能知道,有人連到某一個IP位址、建立的TCP連線數、傳送的資料量,這些網路用量雖然是可以統計得出來,但是裡面到底傳了那些內容?所存取的確切網址?是否趁機夾帶了公司敏感的業務機密?都是管理者心中不斷冒出的問號。而這些疑問的浮現,也逼迫管理者不得不去面對,強化本身的上網行為管制的能力,已經勢在必行。

若使用Webmail,應要求站方在使用者連線期間全面實施HTTPS加密

目前預設使用HTTPS加密連線的網站,大部分是使用人數眾多的社群網站、影音網站、入口網站,像是Facebook、YouTube、Twitter、Google、Yahoo等,然而,不論你所屬的單位是否提供對外的網站服務,仍有極大可能會採用Webmail電子郵件通訊平臺,也許該系統是由內部IT人員架設、維護,或者向外部服務供應廠商租用,對於這樣的郵件系統存取,應要求在帳號登入頁面的身分驗證過程中,套用HTTPS加密連線,甚至應全程使用。

早期,據說有些服務供應商的Webmail系統對此並未嚴格把關,連驗證帳號、密碼的頁面,都只用未加密的HTTP協定來連線。現在,這種情況應該已經逐漸消失,臺灣知名的郵件代管服務供應商網擎資訊,在2007年,就已為Mail2000個人信箱,以及MailASP企業代管服務(現已改名為MailCloud企業郵件代管服務),提供全程加密。而且,他們也已經使用2048位元的RSA數位憑證。

該公司企劃處資深協理李孟秋表示,網擎很早就體認到Webmail的加密,應該要成為基本的保護措施,一直以來,也鼓勵客戶可以多利用。她提到,就Webmail 而言,「全程加密」的定義,就是自登入開始,後面所有的網頁都強制以https://… 的網址來跟客戶互動。

從部分連線加密走向全程連線加密

在網際網路剛崛起的年代,一般使用者通常在需驗證身分的網站系統頁面,或是進行信用卡等個人金融交易時,才會用到SSL/TLS加密連線。在這之外,會是用未加密的HTTP連線,管理人員為了維護網路的需求或其他理由,有時候會側錄連線過程所傳送的封包,若使用者只是短暫停留在網站瀏覽,相關流量就算被擷取下來,對方所看到的內容,也都是公開網站可以看到的東西、沒有敏感資訊,也就不會讓人產生顧慮。若牽涉到個人機密資訊、網路交易,才會用到SSL/TLS連線來保護。

因此,SSL/TLS加密連線的運用,是為了不讓他人看到裡面的資料,但是否要所有網站都要全面實施,這就必須考量到整體網路應用趨勢變化。

F5大中華區資深技術顧問莊龍源,舉了兩個典型的例子。首先,當我們使用Google的各種應用服務或瀏覽Faceboook時,當中雖然沒有輸入與金錢交易有關的資訊,但是這些網站為了要滿足個人化應用的需求,會要求使用者註冊帳號、並且登入系統,而這裡面就會存放與個人身分相關的資訊。

其次,當我們使用瀏覽器存取網站時,許多上網的活動軌跡都可能會遺留在電腦或網站上,不論是簡單的關鍵字搜尋或尚未完成結帳的線上購物行為,都已經牽涉到很多個人資訊在裡面。

相對地,網頁應用程式也配合這樣的需求,去設計與執行,當中會儲存與運用一些個人資訊。比方說,不論登入網站系統與否,都會產生Session ID,透過這個ID,可協助應用程式去檢視、偵測用戶的行為。

對於有經驗的開發者或駭客而言,一旦拿到這些資訊,他可以推測應用程式的開發流程,研判整個網頁應用的架構,透過這些資訊,他們可一點一滴地找出網站應用執行時的弱點。

就算撇開Session ID不論,光靠側錄一堆網址,其實,就可以讓有心人士獲得很多可供利用的資料。例如,有些網頁應用因為開發人員設計不當,結果當用戶存取網站應用系統時,居然出現使用者帳號直接嵌在網址的離譜情況,透過HTTPS加密連線來存取系統,會是隱藏這些情況的好方法。這麼做之後,至少從瀏覽器到網站之間,沒人能夠看到、側錄到完整的上網行為。

關於使用者瀏覽網站時所留下的軌跡,另一個先前也被許多人所詬病的部份是網頁Cookie,當中可儲存使用者在網站表單上所輸入的各種識別資訊內容,像是姓名、電子郵件信箱、電話、住址,Citrix技術顧問何浩祥提醒,若是網頁瀏覽的連線不加密,很多身分認證相關資訊,如cookie就容易被截取,他說,目前大部份的身分盜取,已不只是帳號、密碼了,很多時候,單是盜取cookie,就能達成目的。

全程使用HTTPS加密連線的好處

總而言之,網站與用戶端之間的連線,若能全程使用HTTPS來傳輸,對於個人資料是比較有保障的。

對於HTTPS的特性,A10 Networks台灣區技術總監陳志緯歸納出下列三點:

資料隱密性:HTTPS是在端點對端點之間,建立連線通道,資料在傳輸過程中,都是經過加密處理。

建立HTTPS連線過程,這包含兩部分:初始化期間,是採用非對稱式的金鑰來交換,後續傳輸資料時,則是用對稱式金鑰。其中,比較耗用系統運算資源的部分是指初始化,目前業界普遍都已陸續採用2048位元長度的RSA數位憑證;而資料傳輸過程中,是用256位元的加密連線保護機制。

資料完整性:當SSL進行對稱式加解密時,會用到雜湊演算法(Hashing)機制,來保證中間傳輸的資料未遭竄改

資料的真實性:這跟數位憑證有關,像是位於網際網路上的許多大型網站,所用的數位憑證都是經過簽署的,所以我們才能放心連到這個網站上,瀏覽器也不會跳出警示,因為本身就有根信任數位憑證的機制。

為何要做全站連線加密,Lucent Sky技術長劉寯也持類似看法。當所有資料的傳輸過程期間,都一定會被加密,對於需要執行加解密的部分,開發人員就不需要去個別認定、特別處理,因為SSL/TLS已經在傳輸的層級就加密了,因此在當中,不論你傳遞了哪些東西,至少都是經過加密的,因此你在這樣的網站所瀏覽的項目,所輸入的電話、地址等個人資訊,都較不容易被截取。

除了基於上述理由,現在網站若要全程使用HTTPS,還有一些外在助因。

劉寯說,Google最近一次改版,改變了Page Ranking的演算法,有HTTPS的網站排名會比較高,在這樣的利基之下,不論你所經營、管理的是動態或靜態網站,他仍建議實施HTTPS。

這件消息其實是在今年8月揭露,Google在官方的線上安全部落格上,宣布將以使用HTTPS連線與否,視為評估網站搜尋排名順序的參考因素之一,這意思是指,當有人使用Google搜尋時,在檢索結果的頁面當中,那些使用安全加密連線的網站,將會被放到更前面的位置。為了鼓勵更多網站從HTTP切換到HTTPS,未來他們將會加重這個因素的權重,讓使用者上網過程更為安全。

網站使用HTTPS還有另一個利基點,HTTPS可搭配Google主導的新一代網頁傳輸協定SPDY來使用,何浩祥說,這能讓網頁瀏覽更快速。根據Chromium Projects的資料來看,頁面載入速度可提升39%到55%(如果是在HTTP協定之上使用SPDY,可提升27%到60%)。

使用HTTPS加密連線的代價

有得必有失,為了因應網站全面實施HTTPS的趨勢,陳志緯認為,還需要注意下列兩件事:

安全性:如果企業內部的使用者存取網際網路的連線全程加密,而且原本的資安解決方案,例如員工上網管理、防毒牆、IPS和防毒軟體,又無法支援這樣的加密流量檢測機制,就會出現既有網路安全防護設備失效、IT管理者束手無策的狀況,因為無法徹底掌握使用者連網動向。

成本:企業如要克服上述困境,有幾種方法,像是將原有的資安方案汰換,改用已內建SSL加解密處理能力的新型網路、端點安全產品,或添購具備SSL加解密處理能力的應用程式派送控制器(ADC)∕伺服器負載平衡設備(SLB),由它們來執行相關加密連線流量的處理,而原本的資安設備可保留,透過正向代理的架構與ADC/SLB相互搭配。

然而,不論怎麼選,升級或新購,你可能都必須付出一筆可觀的費用,因為這些產品的價格並不親民,對中大型企業而言,比較有機會負擔得起。

 

 

2014年臺灣100大網站使用HTTPS加密連線的比例仍偏低

 

 

 

 

 

控管HTTPS 加密流量面臨的3種情況

 

無Proxy、無HTTPS處理、純監聽封包

 由於監聽封包架構的關係,Websense對於HTTPS的流量掌握只能看到IP位址,而且因為加密連線的關係,無法看到完整URL網址,也無從得知使用者真正訪問的FQDN主機全名。此時,僅能仰賴IP位址的分類,來識別該使用者可能訪問的網站,再判斷該允許或阻擋。圖片提供/達友科技

 

實施Explicit Proxy、未啟用HTTPS加解密處理

在外顯式代理(Explicit Proxy)架構下,使用者端瀏覽器需指定代理主機的IP位址與通訊埠,上網的請求由瀏覽器直接轉送Proxy服務,連DNS的查詢都是仰賴Proxy代為解析。但因為沒有啟用HTTPS加解密的關係,Websense對HTTPS的流量掌控,只能到FQDN的層級,無法看到完整網址,因此只能識別該使用者存取的「網站」,但無法具體得知所連線的「網頁」。圖片提供/達友科技

實施Explicit Proxy,且啟用HTTPS加解密處理

在Explicit Proxy架構下,加上啟用HTTPS加解密,Websense對於HTTPS的流量掌握度大增,而且,已經能看到完整網址,而且系統對於每筆HTTPS 連線狀態,會產生兩筆紀錄,其中,第一筆是用於SSL連線的建立,以及CA憑證的檢查過程。圖片提供/達友科技

 


相關報導請參考「網站全面施行HTTPS時代來臨」


Advertisement

更多 iThome相關內容