何为Web安全2.0?2022年4月29日

大家一定听说过Web 2.0这个名词，传统的由网站主导生成内容的Web方式则称之为“Web 1.0”，而由用户主导生成内容的Web方式则称之为”Web 2.0”，这是一种新的互联网产品模式，如微信朋友圈和公众号、抖音等。那什么是”Web安全2.0”? 当然也是为了区分传统的Web安全，把传统的Web安全称之为1.0，升级的Web安全就称之为2.0。

为了解释什么是”Web安全2.0”，得先讲讲什么是Web安全1.0，再讲讲为何传统的Web安全需要升级到2.0。Web网站从上世纪90年底开始普及使用，是http明文传输时代，因为当时的互联网仅用于信息发布和浏览。随着网上支付的应用，明文传输的http协议就无法满足安全要求了，浏览器厂商Netscape公司于1994就发明了SSL 协议，采用SSL证书实现https加密传输，保障从浏览器到服务器之间的自动加密传输。这样，Web安全就进入了1.0时代，从此Web不再是明文传输，能有效保障Web信息的传输安全。

而随着网站的普及，各种Web应用越来越丰富，WEB 服务中各种有较高价值的数据逐渐成为主要攻击目标。数据窃取、SQL注入、网页篡改、网站挂马等各种安全事件频繁发生。Web安全的另一支技术路线就出现了-Web应用防火墙(WAF)，就是为了防护Web网站不会被攻击，会分析每一次连接是否是恶意连接，WAF会放行正常用户访问网站资源而拒绝恶意攻击访问。有了WAF，Web应用就安全了，就不用担心各种网站攻击了。

HTTPS加密是为了保护网站内容的传输安全，而WAF则是为了保护网站系统不会遭遇恶意攻击，都是为了网站安全。所以，有些用户为网站部署了SSL证书，有些用户为网站部署了Web应用防火墙，有些用户则两者都采用了。但是，https加密只解决了Web应用的传输安全，用户必须向CA申请SSL证书并手动部署SSL证书到服务器上，或者在服务器上安装一个ACME客户端软件自动申请SSL证书和部署SSL证书。而WAF则只解决了网站的安全防护，并不管用户是否是明文传输访问网站数据这事。即使是支持部署SSL证书的WAF系统，仍然需要用户人工申请SSL证书和部署SSL证书到WAF上。这两个不同的Web安全技术方向都已经无法适应云计算和大数据的发展需要，特别是虚拟主机用户无法安装SSL证书，使得大量的采用虚拟主机的网站处于非常不安全的状态！

为此，Web安全1.0需要升级，在Web安全1.0的基础上把这两支不同的技术结合在一起，升级为 Web安全2.0，并作为一种云服务来为用户提供Web安全服务。Web安全2.0为云原生服务，把云密码服务与云WAF服务紧密结合起来，实现全自动为网站安全配置SSL证书和配置Web应用防火墙服务，全自动为网站提供Web安全云服务，而无需人工干预，用户无需向CA申请SSL证书，也无需在服务器上安装什么软件，只需使用Web安全云服务就可全自动实现https加密和WAF防护，这就是Web安全2.0，零信技术全球独家率先基于阿里云WAF服务和自研的云密码服务实现了Web安全2.0！

Web安全2.0还有第三个重要元素，那就是网站可信认证。因为网站实现了https加密和WAF防护，并不等于网站安全了，并不等于用户就可以信任这个网站，因为欺诈网站也可以实现https加密和WAF防护。所以，我们的解决方案是让零信浏览器在地址栏显著显示网站的可信身份信息，对于部署了已经认证网站身份的OV SSL证书和EV SSL证书的网站，零信浏览器直接在地址栏展示证书主题中的单位名称。而对于部署了没有认证网站身份的DV SSL证书的网站，则用户可申请零信网站可信认证服务，一样可以在零信浏览器地址栏展示已认证的网站的单位名称。我们认为：网站可信认证同https加密和WAF防护一样重要，为Web安全2.0时代的三个不可或缺的重要元素。

Web安全2.0是一个典型的零信任安全解决方案，不信任Web明文传输，因为明文传输的信息非常容易被非法窃取和非法篡改，全自动使用SSL证书实现https加密传输；不信任每一次Web连接，由Web应用防火墙始终验证每次连接，放行正常连接和拒绝恶意连接。不信任没有通过认证的网站，因为欺诈网站和假冒网站也可以实现https加密和WAF防护。

根据《密码法》对密码的定义，密码用于信息加密和安全认证，所以，零信任加密码技术，才能完美实现网站安全从1.0时代升级到2.0时代，完美保障Web应用安全。让我们迎接Web安全2.0时代的到来，让Web应用更加安全可信。