零信网站安全云服务

一、 Web安全1.0时代，已经无法满足云计算和大数据时代的Web安全需求

Web网站从上世纪90年底开始普及使用，是http明文传输时代，因为当时的互联网仅用于信息发布和浏览。随着网上支付的应用，明文传输的http协议就无法满足安全要求了，浏览器厂商Netscape公司于1994年发明了SSL 协议，采用SSL证书实现https加密传输，保障从浏览器到服务器之间的自动加密传输，这样，Web安全就进入了1.0时代。

在Web安全1.0时代，用户必须向CA申请SSL证书，拿到证书后手动部署到服务器上使用，从而实现https加密。经过浏览器厂商和CA的共同努力，现在已经形成了一个Web网站必须强制部署SSL证书的安全最低要求，否则所有浏览器都会显示为“不安全”，这是Web安全1.0时代的最伟大的成就！而Let’s Encrypt 从2015年10月开始使用ACME协议(自动化证书管理环境)为全球用户免费全自动签发DV SSL证书，从此开启了Web安全1.5时代，把用户从繁琐的SSL证书申请、验证和部署解决出来，大大推动了https加密的普及应用。

同时，在Web安全1.0时代，还有另一条技术路线也开始发展起来，那就是WAF (Web应用防火墙)。因为随着网站应用的普及，各种Web应用越来越丰富，WEB 服务中各种有较高价值的数据逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。根据国家计算机网络应急技术处理协调中心发布的报告，2020年我国境内被篡改的网站数量高达10万多。

Web应用防火墙的出现，就是为了解决传统防火墙束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而实现对网站的有效防护。这就是对每一次Web请求的零信任，检查和验证每一次Web请求。

但是，WAF这一Web安全分支技术并没有解决机密信息的加密传输问题，只是解决了网站安全防护问题。虽然有些WAF系统支持https加密，但是仍然需要用户向CA申请SSL证书，再手动部署到WAF设备系统中使用。所以，仍然属于Web安全1.0时代。

Web安全1.0时代还有一个很大的问题就是忽视了大量的虚拟主机用户的网站安全，这个面向中小企业和其他小单位的用户群体由于网站是虚拟主机，不是独立主机，无法手动或者自动化部署SSL证书，使得这些网站不仅处于信息裸奔状态，而且处于无任何防护状态，安全状况堪忧！

由此可见，Web安全1.0时代无论是手动部署SSL证书还是自动化部署SSL证书，还是增加了Web应用防火墙防护，都无法满足目前的云计算和大数据时代的Web安全需求，更是使得虚拟主机用户的网站安全成为了一个被遗忘的安全死角。Web安全急需升级，必须升级到2.0时代！

二、Web安全2.0时代，基于零信任原则的全自动https加密+云WAF防护的网站安全解决方案

Web安全2.0是一个云原生服务，WAF服务是一个云服务，SSL证书自动化部署也是一个云服务，云密码服务全自动为用户网站签发SSL证书并全自动配置到云WAF系统中使用，全自动实现https加密+WAF服务，实现了网站传输加密和网站安全防护，实现了对明文传输的零信任和对每一次Web连接的零信任。但是，这还不够，一个假冒网站和欺诈网站也能做到这一点，做到这一点并不等于这个网站是安全，还需要对网站身份的零信任，不信任没有通过可信身份认证的网站，即使已经https加密和WAF防护。所以，Web安全2.0是一个云SSL+云WAF+云认证的网站安全零信任解决方案，零信技术全球独家率先实现。

1. 云SSL服务全自动为云WAF配置双SSL证书，全自动自适用实现国密https加密

在Web安全1.0模式，用户需要费时费力费钱向CA购买和申请SSL证书，拿到SSL证书后需要在服务器上人工安装和配置SSL证书，或者需要在服务器上安装一个ACME客户端软件和配置对接CA，才能正常使用SSL证书实现https加密。而在Web安全2.0模式，用户只需设置一次CNAME域名解析就能全自动在云WAF上配置好SSL证书实现https加密。

如下左图所示，用户使用http协议访问Web服务器的Web内容和Web应用，由于http协议是明文传输，所以，所有浏览器都会在地址栏显示“不安全”或者显示一个没有加密的锁，因为从用户浏览器到服务器之间传输的所有信息极有可能被非法截获和非法篡改。而如下右图所示，用户选购了零信网站安全云服务后，只需设置3个域名解析，零信云SSL服务自动连接零信云密码服务自动获取全球信任和国密合规的双SSL证书，并自动配置到云WAF系统中使用，全自动实现网站https加密和WAF安全防护，所有浏览器访问用户网站都会自动使用https加密，都会显示安全锁标识。零信浏览器优先采用国密SM2算法实现国密https加密，并且在地址栏显示国密加密标识 。

云SSL服务实现全自动申请ECC/SM2双算法双SSL证书，全自动获取双SSL证书后全自动配置到云WAF中使用，用户无需费时费力费钱向CA申请SSL证书，也无需在服务器上安装任何ACME客户端软件，也无需任何国密改造。全面支持没有独立服务器的虚拟主机用户，只要是网站，无论网站在哪里，都可以只需把原网站变成回源网站即可实现https加密，实现所有网站的普惠https加密，自适应优先采用国密SM2算法实现国密https加密。

2. 云WAF服务全自动为网站提供Web应用安全防护

如下图所示，由零信云SSL服务为用户全自动申请和获取SSL证书，并调用阿里云WAF的API接口自动配置SSL证书到WAF系统中使用，全自动实现Https + WAF服务。阿里云WAF是一个面向混合云场景的Web安全解决方案，支持云上威胁情报和防护规则能力实时同步云下防护节点，实现统一安全防护策略管理。支持常见的Web攻击防护，包括SQL注入、XSS、Webshell上传、目录遍历等，云端自动更新最新Web 0day漏洞的防护规则。支持网页防篡改、盗链防护、管理后台的防暴力破解；支持默认和自定义CC防护策略，缓解HTTP-Flood攻击；支持通过本地独享集群部署的弹性扩容能力，默认采用双防护节点部署。支持HTTP和HTTPS作为回源连接。 如果用户选择https回源，则零信云SSL服务免费为用户提供回源https专用SSL证书。

网站有了云WAF安全防护，从此以后不再有网站攻击事件发生，不再有网站挂马、网页篡改和SQL注入等事件发生，由国内领先的阿里云Web应用防火墙提供7x24x365天的安全防护，用户可以放心地专心地做好自己的业务而不再担心网站会遭遇攻击和遭遇机密信息传输泄密。

3. 云认证服务为网站提供可信网站认证服务，并通过浏览器展示网站可信身份

网站实现了https加密和WAF防护，并不等于网站安全了，并不等于用户就信任这个网站。按照零信任原则，不信任没有通过第三方可信身份认证的网站。网站部署了DV SSL证书只能证明这个网站的域名是真实的，并没有完成网站身份认证。一个假冒银行网站可以注册一个同银行相似的域名而申请到DV SSL证书，如工商银行的域名是icbc.com.cn，假冒工行的网站域名则是1cbc.com.cn，这个域名也能拿到DV SSL证书而实现浏览器显示加密锁标识。

所以，我们强烈推荐用户部署验证网站身份的OV SSL证书和EV SSL证书，因为网站的真实身份同传输加密和安全防护一样重要。对于选购了零信网站安全云服务的用户，每个服务版本中都免费了赠送了最严身份认证级别的可信网站认证服务-EV认证，零信浏览器都会显示绿色地址栏和单位名称，让用户同时享受https加密、WAF防护和可信身份三位一体的网站安全服务。

对于选购了基础版的用户，会自动配置仅验证域名所有权的DV SSL证书，证书签发CA并未验证网站身份，网站身份认证由零信技术负责依据扩展验证的标准来完成。所以，即使部署的是DV SSL证书，由于网站身份已经完成EV认证，则零信浏览器一样会像展示部署了EV SSL证书一样的绿色地址栏和展示单位名称。这是一个把https加密与网站身份认证分离的创新解决方案，实现了快速验证拿到SSL证书和快速本地网站身份认证的完美统一。如下图所示，左图为零信浏览器对选购了基础版服务的网站的显示效果，同网站部署了EV SSL证书一样。右图为谷歌浏览器展示的效果，点击安全锁，看到的SSL证书是DV SSL证书。

对于选购了专业版的用户，会自动配置已验证网站身份的OV SSL证书，网站身份认证由零信技术参照国际标准和依据国家标准完成OV SSL证书身份认证，SSL证书中含有网站单位名称等信息，零信技术在此基础上依据扩展验证标准完成EV认证，零信浏览器一样会像展示部署了EV SSL证书一样的绿色地址栏和展示单位名称。如下图所示，左图为零信浏览器对选购了专业版服务的网站的显示效果，同网站部署了EV SSL证书一样。右图为谷歌浏览器展示的效果，点击安全锁，看到的SSL证书是OV SSL证书。

对于选购了专业增强版的用户，会自动配置已扩展验证网站身份的EV SSL证书，网站身份认证由零信技术参照国际标准和依据国家标准完成EV SSL证书身份认证，SSL证书中已经含有网站单位名称和注册信息等信息，零信浏览器会在地址栏直接展示SSL证书中的单位名称和绿色地址栏，如下左图所示。而其他浏览器仍然只显示安全锁标识，如下中图所示，但点击安全锁查看证书，能看到此网站的单位名称，如下右图所示。

三、全面支持Web安全2.0，一键实现Web普惠安全可信

零信网站安全云服务既是一个专为网站安全设计的零信任安全服务，也是一个云原生服务，所有服务都直接通过云服务来提供，用户无需在自己服务器上安装SSL证书，也无需安装ACME客户端软件，无需任何国密改造，更不需要购置WAF设备，只需做3次域名解析就能全自动实现国密https加密和WAF防护，这大大降低了用户保障网站安全的门槛和防护成本，是一个三位一体的立体防护，主要优势特点有：

1. 不信任http明文连接，全自动实现https加密连接，零信浏览器优先采用国密https加密

用户无需向CA申请SSL证书和无需在服务器上安装SSL证书，也无需在Web服务器上安装任何客户端软件用于自动化部署证书。用户甚至不用关心什么是SSL证书，只需选购服务，3次设置域名解析即可，10分钟启用自适应加密算法的https加密服务，零信浏览器优先采用国密https加密。使用https加密来保护网站机密信息安全与网站是独立主机或者虚拟主机无关，只要是可访问的网站都可以全自动启用https加密。这是一个普惠安全服务，没有其他先决条件。

零信网站安全云服务天生就支持虚拟主机用户，这就使得Web安全2.0时代是一个网站安全普惠时代！不会丢下安全防护能力最弱的虚拟主机用户，让所有网站都能享受https加密和WAF服务。不信任http明文连接，只信任https加密连接，优先使用国密https加密连接，这是网站安全零信任的第一原则，零信网站安全云服务全自动全覆盖领先实现Web安全2.0！

2. 不信任每一次Web访问，全自动实现WAF安全防护

用户无需购买WAF设备系统，只需购买网站安全云服务，设置CNAME域名解析即可实现WAF安全防护，没有任何其他先决条件，并且是https WAF防护，尽享防护能力顶尖的阿里云WAF服务。不信任每一次Web访问，始终验证每一次连接，放行正常连接，拦截恶意连接，这是网站安全零信任的第二原则，零信网站安全云服务全自动全覆盖领先实现实现Web安全2.0！

3. 不信任没有通过认证的网站，零信浏览器特别展示网站可信身份

网站安全不仅仅需要https加密，也不仅仅需要WAF防护，同时也需要让用户确信网站的身份可信，所以，零信浏览器特别展示已通过身份认证的网站，在地址栏直接展示网站主单位名称，让用户确信网站身份，放心地浏览网站并在网站下单。通过云认证的网站的可信身份由零信浏览器特别显著展示，既展示网站有https加密又有WAF防护，还展示可信身份，只有这样才是一个完整的三位一体网站安全可信解决方案。

由此可见，以上三大特点决定了Web安全2.0已经结束了1.0时代需要人工设置，并且仅限于个别网站的特点，创新地实现了升级换代，实现了Web普惠安全。这是Web安全2.0时代的显著特点！只有所有网站安全了，互联网才是真正安全了，Web安全2.0让每一个网站应用普惠安全。Web安全2.0适应了云计算、大数据和零信任安全的需要，满足了所有网站的全球信任和国密合规的安全需求，必将受到所有网站用户的欢迎。

根据《密码法》对密码的定义，密码是对信息等进行加密保护、安全认证的技术、产品和服务。而https加密就是对网站信息传输的“加密保护“，可信网站认证则就是“安全认证”，由此可见，Web安全2.0也可以理解为是一个典型的密码合规应用，同时也是一个零信任安全应用，零信任加密码，完美实现网站安全升级到2.0时代，完美保障Web应用安全，Web安全2.0的普及应用必将为保障我国互联网和大数据安全做出巨大的贡献。

Https加密+云WAF防护+可信身份 = Web安全2.0, 零信技术全球独家率先实现！