一、零改造,全自动实现国密https加密,自适应加密算法
零信国密HTTPS加密自动化云服务是一个基于阿里云CDN/WAF服务打造的零改造实现国密https加密的创新云服务,由零信云SSL系统自动对接阿里云CDN/WAF系统,自动为阿里云CDN/WAF配置双算法双SSL证书,全自动实现国密https加密、CDN分发和云WAF防护,使得网站系统无需向CA申请SSL证书,无需单独购买CDN/WAF服务,零改造自动实现国密合规和全球信任的https加密、CDN分发和云WAF防护,满足密保合规和等保合规的网站安全合规需求。
1.云SSL服务全自动为CDN/WAF配置SSL证书,全自动实现国密https加密
在传统模式下,用户需要费时费力费钱向CA购买和申请SSL证书,拿到SSL证书后需要在服务器上人工安装和配置SSL证书,或者需要在服务器上安装一个ACME客户端软件和配置对接CA,才能正常使用SSL证书实现https加密。而在Web安全2.0模式,用户只需设置一次CNAME域名解析就能全自动在CDN/WAF上配置好SSL证书实现https加密。
如下左图所示,用户使用http协议访问Web服务器的Web内容和Web应用,由于http协议是明文传输,所以,所有浏览器都会在地址栏显示“不安全”或者显示一个没有加密的锁,因为从用户浏览器到服务器之间传输的所有信息极有可能被非法截获和非法篡改。而如下右图所示,用户选购了零信国密HTTPS加密自动化云服务后,只需设置CNAME域名记录,零信HW服务自动连接零信云密码服务自动获取全球信任的SSL证书,并自动配置到云WAF系统中使用,全自动实现网站的https加密和WAF安全防护,所有浏览器访问用户网站都会自动使用https加密,都会显示安全锁标识。
云SSL服务实现全自动申请SSL证书,全自动获取SSL证书后全自动配置到云WAF中使用,用户无需费时费力费钱向CA申请SSL证书,也无需在服务器上安装任何ACME客户端软件。全面支持没有独立服务器的虚拟主机用户,只要是网站,无论网站在哪里,都可以只需把原网站变成回源网站即可实现https加密,实现所有网站的普惠https加密。
2.云WAF服务全自动为网站提供Web应用安全防护
如下图所示,由零信云SSL服务为用户全自动申请和获取SSL证书,并调用阿里云WAF的API接口自动配置SSL证书到WAF系统中使用,全自动实现Https + WAF服务。阿里云WAF是一个面向混合云场景的Web安全解决方案,支持云上威胁情报和防护规则能力实时同步云下防护节点,实现统一安全防护策略管理。支持常见的Web攻击防护,包括SQL注入、XSS、Webshell上传、目录遍历等,云端自动更新最新Web 0day漏洞的防护规则。支持网页防篡改、盗链防护、管理后台的防暴力破解;支持默认和自定义CC防护策略,缓解HTTP-Flood攻击;支持通过本地独享集群部署的弹性扩容能力,默认采用双防护节点部署。支持HTTP和HTTPS作为回源连接。 如果用户选择https回源,则零信云SSL服务免费为用户提供回源https专用SSL证书 。
网站有了云WAF安全防护,从此以后不再有网站攻击事件发生,不再有网站挂马、网页篡改和SQL注入等事件发生,由国内领先的阿里云Web应用防火墙提供7x24x365天的安全防护,用户可以放心地专心地做好自己的业务而不再担心网站会遭遇攻击和遭遇机密信息传输泄密。
3.云认证服务为网站提供可信网站认证服务,并通过浏览器展示网站可信身份
网站实现了https加密和WAF防护,并不等于网站安全了,并不等于用户就信任这个网站。按照零信任原则,不信任没有通过第三方可信身份认证的网站。网站部署了DV SSL证书只能证明这个网站的域名是真实的,并没有完成网站身份认证。一个假冒银行网站可以注册一个同银行相似的域名而申请到DV SSL证书,如工商银行的域名是icbc.com.cn,假冒工行的网站域名则是1cbc.com.cn,这个域名也能拿到DV SSL证书而实现浏览器显示安全锁标识。
所以,我们强烈推荐用户部署验证网站身份的OV SSL证书和EV SSL证书,因为网站的真实身份同传输加密和安全防护一样重要。对于选购了零信国密HTTPS加密自动化云服务的用户,每个服务版本中都免费了赠送了最严身份认证级别的可信网站认证服务-EV认证,零信浏览器都会显示绿色地址栏和单位名称,让用户同时享受https加密、WAF防护和可信身份三位一体的网站安全服务。
对于选购了基础版的用户,会自动配置仅验证域名所有权的DV SSL证书,证书签发CA并未验证网站身份,网站身份认证由零信技术负责依据扩展验证的标准来完成。所以,即使部署的是DV SSL证书,由于网站身份已经完成EV认证,则零信浏览器一样会像展示部署了EV SSL证书一样的绿色地址栏和展示单位名称。这是一个把https加密与网站身份认证分离的创新解决方案,实现了快速验证拿到SSL证书和快速本地网站身份认证的完美统一。如下图所示,左图为零信浏览器对选购了基础版服务的网站的显示效果,同网站部署了EV SSL证书一样。右图为谷歌浏览器展示的效果,点击安全锁,看到的SSL证书是DV SSL证书。
对于选购了专业版的用户,会自动配置已验证网站身份的OV SSL证书,网站身份认证由全球顶尖CA严格按照国际标准完成OV认证,SSL证书中已含有网站单位名称等信息,零信技术在此基础上依据扩展验证标准完成EV认证,零信浏览器一样会像展示部署了EV SSL证书一样的绿色地址栏和展示单位名称。如下图所示,左图为零信浏览器对选购了专业版服务的网站的显示效果,同网站部署了EV SSL证书一样。右图为谷歌浏览器展示的效果,点击安全锁,看到的SSL证书是OV SSL证书。
对于选购了专业增强版的用户,会自动配置已扩展验证网站身份的EV SSL证书,网站身份认证由全球顶尖CA严格按照国际标准完成EV认证,SSL证书中已经含有网站单位名称和注册信息等信息,零信浏览器会在地址栏直接展示SSL证书中的单位名称和绿色地址栏,如下左图所示。而其他浏览器仍然只显示安全锁标识,如下中图所示,但点击安全锁查看证书,能看到此网站的单位名称,如下右图所示。
二、零信国密HTTPS加密自动化云服务,专为零改造国密https加密打造
零信国密HTTPS加密自动化云服务既是一个专为网站安全设计的零信任安全服务,也是一个云原生服务,所有服务都直接通过云服务来提供,用户无需在自己服务器上安装SSL证书,也无需安装ACME客户端软件,更不需要购置WAF设备,只需做CNAME解析就能全自动实现https加密、CDN分发和WAF防护,这大大降低了用户保障网站安全的门槛和防护成本,是一个三位一体的立体防护,主要优势特点有:
-
1
不信任http明文连接,全自动实现https加密连接
用户无需向CA申请SSL证书和无需在服务器上安装SSL证书,也无需在Web服务器上安装任何客户端软件用于自动化部署证书。用户甚至不用关心什么是SSL证书,只需选购服务,两次设置CNAME域名解析即可,10分钟启用https加密服务。使用https加密来保护网站机密信息安全与网站是独立主机或者虚拟主机无关,只要是可访问的网站都可以全自动启用https加密。这是一个普惠安全服务,没有其他先决条件。
零信国密HTTPS加密自动化云服务全自动配置全球信任的ECC SSL证书和国密合规的国密SSL证书,一键实现国密合规、等保合规和全球信任,让所有网站都能享受更加安全的国密https加密和云WAF服务。不信任http明文连接,只信任https加密连接,这是网站安全零信任的第一原则。
-
2
不信任每一次Web访问,全自动实现WAF安全防护
用户无需购买WAF设备系统,只需购买国密HTTPS加密自动化云服务,设置CNAME域名解析即可实现WAF安全防护,没有任何其他先决条件,并且是https WAF防护,尽享防护能力顶尖的阿里云WAF服务。不信任每一次Web访问,始终验证每一次连接,放行正常连接,拦截恶意连接,这是网站安全零信任的第二原则。
-
3
不信任没有通过认证的网站,零信浏览器特别展示网站可信身份
网站安全不仅仅需要https加密,也不仅仅需要WAF防护,同时也需要让用户确信网站的身份可信,所以,零信浏览器特别展示已通过身份认证的网站,在地址栏直接展示网站主单位名称,让用户确信网站身份,放心地浏览网站并在网站下单。通过云认证的网站的可信身份由零信浏览器特别显著展示,既展示网站有https加密又有WAF防护,还展示可信身份,只有这样才是一个完整的三位一体网站安全可信解决方案。
由此可见,以上三大特点不仅满足的网站安全零信任的要求,而且实现了全自动的采用国密算法实现的https加密、CDN分发和云WAF防护,创新地实现了网站安全的升级换代,实现了Web普惠安全。根据《密码法》对密码的定义,密码是对信息等进行加密保护、安全认证的技术、产品和服务。而https加密就是对网站信息传输的“加密保护“,可信网站认证则就是“安全认证”,由此可见,国密HTTPS加密自动化云服务也可以理解为是一个典型的密码合规应用,同时也是一个零信任安全应用,零信任加密码,完美实现网站安全升级,完美保障Web应用安全。
