一个网站是否安全,至少有四个基本要素:一是https加密、二是采用何种密码算法加密、三是WAF防护,四是可信身份认证。这就是为何零信浏览器的UI创新显示四个安全相关图标:
,不仅有安全锁标识,而且增加显示密码算法标识、WAF防护标识和网站身份认证级别标识。请参考:零信浏览器创新用户界面设计主要图标汇总。
零信浏览器基于开源的Chromium开发,安全锁标识的默认UI显示为“连接安全”,零信浏览器认为这是不准确的,网站部署了SSL证书,实现了https加密,并不等于是安全的,只能说明从浏览器到服务器的连接是已加密的。所以,零信浏览器修改为“连接已加密”,并后面括号显示SSL证书的密码算法(如:SM2)。点击“连接已加密(SM2)”,则显示“不支持量子安全”,而不是原Chromium UI显示的“安全”,意在突出网站比须迁移到后量子密码的紧迫性和必要性。
如果网站支持后量子密码,则不在地址栏显示SSL证书的密码算法标识( /
/
),而是显示”
”标识, SSL证书的密码算法在“连接已加密”后面显示(如:ECC)。点击“连接已加密(ECC)”,则显示“量子安全”,而不是原Chromium UI显示的“安全”,这是在告诉用户网站HTTPS加密采用了后量子密码算法,能保障机密数据在现在和量子时代的持续安全。
网站安全的第一要素是https加密,实现从浏览器到服务器之间的信息传输是加密的,防止机密信息在传输过程泄密,有效杜绝各种非法窃取和非法篡改。这是基本要求,没有https加密,所有浏览器都会提示“不安全”,这是正确和准确的提示。
第二个要素是HTTPS加密所采用的密码算法,如是否采用了商用密码算法满足合规要求。同时,如果采用传统密码算法,则现在就已经无法保障数据安全了,因为已经存在“先收集后解密”安全威胁,所以零信浏览器第二个重要的标识是HTTPS加密所采用的密码算法。
第三要素是WAF防护,这也是不可或缺的,WAF能有效防止各种攻击,防止信息从浏览器到达服务器后的被非法窃取和非法篡改。https加密保障机密信息安全到达服务器,而信息到达服务器后防止各种网络攻击的工作就只能由Web应用防火墙(WAF)来完成了。没有WAF防护,https加密也就失去了意义了!这一点非常重要。https加密和WAF防护各司其职、各管一段!
第四要素是网站可信认证,一个假冒银行网站也可能会有https加密,浏览器也会显示安全锁标识,也可能会有WAF防护,但是,这些并不证明这个假冒银行网站是安全的!所以,网站可信认证是网站安全的第三个重要元素,同https加密和WAF防护一样重要!最简单的网站可信认证就是部署已经验证网站身份的IV SSL证书、OV SSL 证书和EV SSL证书,零信浏览器会对应显示 、
、
标识。而对于只部署了未验证身份的DV SSL证书的网站,则显示
标识,因为网站真实身份未验证。也可以申请零信浏览器的网站可信认证服务。
推荐用户选用 零信国密HTTPS加密自动化管理解决方案,无需向CA申请SSL证书,无需在Web服务器安装SSL证书,也无需在Web服务器上安装ACME客户端软件,全自动实现https加密和WAF防护。由于SSL证书有效期将缩短为47天,传统人工申请和部署SSL证书的解决方案无法满足大量的网站系统都需要部署SSL证书的应用需求,必须实现SSL证书自动化管理。特别是需要实现国密HTTPS加密的关键信息基础设施系统,需要原Web服务器零改造的不影响现有业务系统正常运行的解决方案,零信技术解决方案不仅自动化部署国际SSL证书,同时还自动化部署国密SSL证书,实现双算法SSL证书的自动化管理。零信浏览器优先采用SM2算法实现HTTPS加密,其他不支持SM2算法的浏览器则采用ECC算法实现HTTPS加密。对于已经支持后量子密码混合协议的网站,零信浏览器则优先采用后量子密码混合协议实现HTTPS加密,并在地址栏显示“”标识。