ACME vs CWAF2022年6月1日

先解释一下标题用的两个英文名称，”ACME”是Automated Certificate Management Environment (自动证书管理环境)的缩写，是一个RFC 8555 国际标准，用于自动化获取SSL证书和自动化部署SSL证书，包括ACME客户端和CA服务端的相关协议标准。”CWAF”是Cloud Web Application Firewall (云Web应用防火墙 或 云WAF)的缩写，是一种云服务，用于对网站或者APP的业务流量进行恶意特征识别及防护，将正常和安全的流量回源到Web服务器，拦截恶意攻击流量。

今天，零信网站安全云服务上线，特撰文讲讲我们是如何选择技术路线的：ACME 或 CWAF？公司原先的产品研发计划是提供基于ACME国际标准的为用户提供全自动部署SSL证书的https加密服务，但是今天上线的产品并不是这个，而是基于云WAF服务提供的全自动部署SSL证书的https加密服务，为何有这个研发方向的大改变，本文披露更多的内幕详情。

为了保障 证签官网 的证书申请与管理系统的安全，我们在官网上线时就选用了阿里云WAF服务来保护官网安全，不用不知道，用了才知道，有了云WAF服务不仅可以保障网站的安全，而且还可以实现https加密服务。这就让我不得不重新思考一个重要的问题：用户还需要ACME式的自动获取SSL证书服务？我们是否还有必要研发ACME客户端和研发对接ACME客户端的SSL证书签发系统？今天上线的零信网站安全云服务已经给出了答案，这是我公司自己作为一个云WAF用户的明智选择，也成为了我公司计划提供的https加密服务的技术路线的必然选择。

大家都知道，所有浏览器都已经对没有部署SSL证书的网站显示为“不安全”，这不是浏览器厂商吓唬人，是真的不安全，因为http是明文传输，如果不采用https加密传输，则用户在网站上输入的所有机密信息都非常容易被非法窃取和非法篡改。而要实现https加密，必须向CA购买和申请SSL证书，好不容易拿到SSL证书后还要在服务器上安装和配置使用SSL证书才能实现https加密，浏览器才会不显示“不安全”，而是显示安全锁标识。

申请和部署SSL证书是一件比较痛苦的事情，笔者陪着广大用户痛苦了18年之久，所以一直就想为用户提供一个能减轻痛苦的解决方案。所幸的是，市场上已经有了完全免费的能自动化申请和部署SSL证书的服务-Let’s Encrypt，这个免费SSL证书服务仅用了6年时间就赢得了全球SSL证书市场60%的市场份额，遥遥领先其他CA，已经为全球用户(当然包括中国用户)签发了4.43亿张SSL证书，其成功的秘诀就是用户只需在服务器上安装一个ACME客户端软件就可以全自动获取Let’s Encrypt签发的完全免费的有效期为90天的DV SSL证书。为何Let’s Encrypt这么火，因为用户需要简单省事的解决方案，当然最好是免费的。所以，其他CA也已经开始支持ACME协议为用户全自动提供SSL证书，我原先也是这么计划的。

但是，当我们使用了阿里云WAF后，我就果断地终止了原先的研发计划，改成了基于云WAF服务实现全自动https加密，这个方案比ACME更简单，更方便，不需要在服务器上安装任何客户端软件，只需做两次CNAME域名解析即可！我们把云密码服务的全自动申请SSL证书的功能(云SSL服务)集成到阿里云WAF中， 实现了全自动为阿里云WAF配置SSL证书，这样就在阿里云WAF基础上实现了全自动https加密，不同的技术路线一样实现了我们既定的要实现的目标，并且更简单，更先进，同时实现https加密和网站安全防护，因为仅有https加密并不能保障网站的安全。唯一有一点点遗憾的是无法做到免费，因为所有保安服务都是有成本的，是需要收费的。所幸的是，云服务大大降低了成本，使得云WAF服务成为了大家买得起的网站安全防护服务。同时，我们的创新解决方案得到了阿里云WAF的大力支持，特为我公司定制了一个用户能承担得起的包年收费方案，进一步降低了用户使用云WAF的成本。

而更加意外和令人兴奋的是，云SSL加云WAF的方案彻底解决了困惑笔者多年的一个技术难题—虚拟主机用户无法安装独立的SSL证书，因为此方案根本就不需要在用户服务器上安装SSL证书，用户的网站只需通过CNAME域名解析变成WAF的源站即可，一个非常巧妙的方案帮助所有虚拟主机网站用户彻底摘掉了“不安全”的帽子，从此以后就再也不用对浏览器显示网站为“不安全”而发愁了。

也就是说，用户可以选择ACME解决方案，但只能保证网站有https加密，并且自己必须有服务器，必须在服务器上安装ACME客户端软件。现在，用户有了新的选择，选择我们的解决方案，则既能保证网站有https加密又能防护网站的恶意攻击，而且还不需要动服务器任何地方，不需要安装SSL证书，不需要安装ACME客户端软件，也不需要自己有服务器，可以是虚拟主机，原网站原封不动，只需做两次CNAME域名解析，10分钟就可以消除所有浏览器的显示“不安全”警告，同时即刻开启防攻击保护，而且这个安全防护是由业界领先的阿里云WAF提供。当然，用户的网站是在阿里云还是不在阿里云都没有关系，只要是互联网能访问的网站，都能使用我们的云服务来保障网站安全，这绝对是一个两全其美的最完美的网站安全解决方案。

笔者在规划这个新方案时同时测试了阿里云WAF、华为云WAF和腾讯云WAF，但最终还是选择了基于阿里云WAF开发SSL证书自动化部署方案，因为我们认为阿里云WAF性能、功能和接口更容易集成我们的云SSL服务。我们也计划测试微软云WAF和亚马逊云WAF，但是这两家的云WAF设置太复杂，非一般人能搞定，所以放弃了测试。就这一点，笔者不得不夸一下我们的国产云WAF服务，全部都是傻瓜式一键搞定，很对我们的“一键搞定SSL”的胃口。所以，我已经计划后续会对接多家国产云WAF服务提供商，让我们的用户有更多的选择，满足用户的各种不同的应用需求和适应更多的在云环境。

ACME vs CWAF，你get到了？这是”Https” vs “Https+WAF”！”Web安全1.0” vs “Web安全2.0”！