不断扩展的数字环境需要安全的在线通信和数据保护。 SSL/TLS 协议和使用该协议的数字证书是在保护我们的在线交易和信息交换方面发挥关键作用的一项技术。 过去二十年来,SSL 证书不断发展,适应了网络安全日益复杂的形势,成为网络安全的重要组成部分。
SSL 证书于 20 世纪 90 年代中期推出,彻底改变了我们在互联网上传输信息的方式。 它们最初的设计目的是确保敏感数据(如信用卡详细信息和密码)传输的安全,现在已成为在在线互动中建立信任、保护隐私和加密的重要工具。 本文探讨 SSL 证书的历史,追溯其从早期到现代的演变过程。 报告还探讨了影响其发展的重要里程碑。
目录
SSL 和 TLS 历史 – 走进记忆之路
当硅谷的计算机科学家约翰-温莱特(John Wainwright)在亚马逊上订购了有史以来第一本书时,他最想不到的是有一栋建筑以他的名字命名。 但这正是这家全球最大的零售商对其有史以来第一位非雇员客户的重视程度。
与上世纪 90 年代末网络零售业尚处于起步阶段相比,亚马逊实现了巨大的飞跃,现在每年销售数百万册图书。 但是,如果没有另一项技术在后台运行,温莱特 25 年前所做的一切就不可能实现。 这项技术是互联网发展和在线交易的基础,任何网站都离不开它。 我们谈论的是加密协议和 SSL/TLS 证书–这些网络安全元素使得互联网革命成为可能。
当第一批浏览器在万维网上普及时,安全支付的需求已迫在眉睫。 在网景公司(当时最大的计算机服务公司之一)总部的某个地方,埃及密码学家、网景公司首席科学家塔希尔-埃格马尔(Taher Egmal)正在起草首个安全套接层(SSL)互联网协议。
九十年代末 SSL 证书的演变
由于无法在现实世界中进行测试,SSL 1.0 完全是一场车祸。 由于存在大量加密缺陷和安全漏洞,第一个版本从未上线。 网景公司继续开发 SSL 协议,并于 1995 年 2 月发布了 SSL 2.0。 它与网景公司的 Navigator 浏览器一起出厂,仅使用了一年时间,直到黑客和安全专家再次将其曝光。
与此同时,微软决定对 SSL 2 协议进行修订,增加一些自己的内容,并发布了第一个版本的 PCT(专用通信技术)协议。 不过,它的发展势头一直不佳,仅在 IE 和 IIS 中得到支持。
网景公司争先恐后地开发出 SSL 3.0,终于为网络带来了一点稳定性和喘息空间。 直到 1999 年,一个看似全新的 TLS(传输层安全)1.0 协议才面世。 实际上,TLS 与 SSL 3.0 几乎完全相同,与其说是对 SSL 3.0 的偏离,不如说是激烈的竞争对手 Netscape 和 Microsoft 之间的妥协。
据编写 SSL 3.0 参考实现的蒂姆-迪尔克斯(Tim Dierks)回忆,网景公司和微软公司通过谈判达成了协议,双方都支持 IETF(互联网工程任务组)接管该协议,并通过开放的程序使其标准化。
“作为交易的一部分,我们必须对 SSL 3.0 进行一些修改(这样才不会让人觉得 IETF 只是在为网景公司的协议做橡皮图章),我们还必须重新命名该协议(出于同样的原因)。于是,TLS 1.0(实际上是 SSL 3.1)诞生了。当然,现在回想起来,整件事看起来都很愚蠢。
IETF 小组花了三年时间才发布 TLS 1.0。 SSL/TLS 的混乱一直持续到今天。
21 世纪初 SSL 证书的演变
新千年伊始,SSL 证书就像沙漠中的树木一样稀少。 证书颁发机构对业务验证收取数百美元的费用,这在当时是唯一的选择。 对于涉足网络世界未知领域的电子商务公司来说,这是一笔相当大的投资。
显然,需要更快、更简便地进行验证。 2002 年,GeoTrust 成为首家颁发域名验证证书的证书颁发机构,此举最终彻底改变了 SSL 的格局。 这些证书速度更快、成本更低,可以加密任何类型的网站,最终成为 HTTPS 革命的推动力。
5 年后的 2007 年,另一项改变游戏规则的创新技术改变了 SSL 行业。 扩展验证证书的出现使公司能够向互联网用户提供合理的保证,即他们访问的网站确实是由某个法人实体控制的。 现在著名的 EV 绿色地址栏帮助公司更好地向客户表明自己的身份,并使使用 SSL 证书的网络钓鱼攻击变得更加困难。
与此同时,IETF 于 2006 年发布了 TLS 1.1,以应对 BEAST 攻击,随后又于 2008 年发布了 TLS 1.2,其主要新功能是验证加密(AEAD)。 虽然这是在线加密技术的重大突破,但主要浏览器和服务器仍需数年时间才能启用它。 Chrome 浏览器于 2013 年 8 月添加了对 TLS 1.2 的支持。 当时,IEFT 已经开始起草 TLS 1.3 协议。
随着网络的快速发展,网络攻击的数量也与日俱增,大规模加密似乎是实现更安全的互联网的必然选择。 谷歌,可以说是 HTTPS 过渡的最大倡导者。
过去十年 SSL 证书的演变
2014 年,当谷歌宣布将对所有安全网站进行搜索引擎优化时,SSL 的历史翻开了新的一页。 而且,由于当时每个人都沉迷于搜索引擎优化,因此,那些原本不可能获得 SSL 证书的网站,为了在竞争中获得最小的优势,纷纷从 HTTP 转向 HTTPS。 此举开启了 HTTPS 的崛起和 SSL/TLS 生态系统的新纪元。
在谷歌推出激励措施后不久,流行的内容交付网络服务 Cloudflare 也向其 200 多万用户赠送了免费证书。
2015 年,SSL/TLS 领域取得了三大进展。 首先,4 月 1 日之后签发的证书有效期从五年缩短为三年。 早在 2012 年,公信证书发行和管理的首个基准要求中就概述了较短的生命周期。
Let’s Encrypt 来了,SSL 不再适用
几个月后的 11 月,Let’s Encrypt 开源证书颁发机构为所有人提供了免费的域名验证 SSL 证书和自动颁发功能。 在谷歌、Facebook 和 Mozilla 等公司的支持下,Let’s Encrypt 很快成为基本网站、博客和在线投资组合的热门选择。
同年,IETF 废弃了 SSL 协议,但多年后旧服务器才完全禁用该协议。
时至 2016 年,HTTPS 加密在整个网络中的普及率达到了 50%。 虽然这在当时是一项巨大的成就,但工作只完成了一半。 谷歌的最终目标是确保整个网络的安全。 要做到这一点,就必须采取比提升搜索引擎优化更激进的措施。 一如既往,硅谷的聪明人想出了一个简单而高效的解决方案。
浏览器开始阻止 HTTP 内容
随着 2018 年 Chrome 68 的发布,该浏览器开始将所有未加密的 HTTPS 网站标记为不安全。 Mozilla 也紧随其后,突然之间,SSL 证书从 SEO 的激励措施变成了所有类型网站的绝对必需品。 由于所有者都急于保护自己的网站,避免不祥的警告,整个互联网的 HTTPS 加密率飙升至 80%。
SSL 证书现已成为新的规范。 网站建设和安全不可或缺的要素。 从此,HTTPS 的发展将转向一个新的方向。 在下一个版本中,Chrome 69 将取消 HTTPS 网站上的安全徽章,只留下挂锁作为唯一的指示器。
这再次巩固了谷歌对加密网站态度的重大转变。 如果在过去,它提供奖励以鼓励 HTTPS 迁移。 现在,它反其道而行之,开始惩罚未加密的网站。 扩展验证 “绿条得以存活,但很快它的时代也将结束。
TLS 1.3 发布日期
在这些重要变化中,IETF 发布了期待已久的TLS 1.3 协议。 它的开发耗时五年,比之前的 TLS 1.2 版本晚了十年,但等待是值得的。 2018 年 8 月发布的 TLS 1.3 删除了大量旧密码和算法,并将TLS 握手速度降低了一半。 与之前的版本一样,该版本的采用将十分缓慢。
繁忙的 2018 年见证了 SSL 领域的又一重要发展。 不断变化的SSL 有效期再次缩短,这次只有两年。 新限制允许 SSL 证书更频繁地过期和重新签发,从而使证书颁发机构能够更好地控制整个 SSL/TLS 环境。
在漫步过去之后,我们终于来到了当代。 在网络世界,网络 HTTPS 加密率已超过 95%。 谷歌确保整个互联网安全的目标现已成为现实。
2020 年后 HTTPS 的变化
浏览器继续规范 HTTPS 连接,使其更加中立。 在最新举措中,Chrome 浏览器和火狐浏览器都放弃了地址栏中的扩展验证指示器,并将其重新放置在证书信息面板中。 谷歌进行了内部和外部研究,发现EV 指标不能有效传达网站身份和安全信息。 此外,它占用了太多空间,还可能出现令人混淆的公司名称。 即便如此,取消 EV 指示器并不是扩展验证证书的终结。 它们的主要优点仍然是广泛验证公司身份。
与此同时,SSL 的有效性继续降低。 这次轮到苹果公司一致同意将其 Safari 浏览器的证书周期缩短至一年。 新变化从 9 月 1 日起生效。 由于 Safari 是网络上第二受欢迎的浏览器,其竞争对手也纷纷效仿苹果的决定。 通过定期生成新密钥,一年的有效期进一步减少了网络攻击的暴露窗口。 所有这些变化再次凸显了 SSL 历史不断变化的本质。
SSL 证书的未来会怎样?
随着加密技术的普及,保护用户敏感数据免受持续网络攻击的责任也随之加重。 虽然旧协议的缺陷已在后来的版本中消除,但只要互联网仍在发展,新安全威胁的风险就会居高不下。
许多金融科技专家建议将区块链作为 SSL 的潜在替代品。 简单地说,区块链是一种数据库结构,它以称为区块的批次存储信息,并按顺序链接,形成区块链。 每条链都是一个公共分类账,交易都是匿名记录和确认的。 区块链最有名的例子之一就是比特币加密货币。 但是,区块链如何改进网络加密呢?
首先,各方可利用它生成唯一的加密密钥,以检查信息并提供安全通信。 目前市场上已经有几种基于区块链的 SSL 证书。 这些证书消除了数字交易中的证书颁发机构(人为因素),确保了更强的身份验证。
Remme 就是这样一个系统。 分布式公钥基础设施协议将 SSL 证书分配给智能手机或个人电脑等单个设备,并将证书信息存储在安全的区块链数据库中。
虽然区块链被誉为 SSL 的最佳替代品,但将 CA 从等式中剥离可能会产生相反的效果。 该技术仍处于起步阶段,在开发人员能够证明其在提供去中心化信任方面的效率和稳定性之前,受到严格监管的证书颁发机构将继续验证证书所有者的合法性。
俗话说得好,不破不立。 这并不是说 CA 没有遇到过问题和考验,但其不间断的进步已将 SSL 行业转变为一个更加安全的地方。 如今,领先的 CA 提供广泛的证书管理和自动化选项,帮助公司有效管理成千上万的证书周期。
浏览器和 CA 都对 SSL 的安全记录充满信心,以至于 Google 打算取消挂锁图标–这是安全网站最后的标志。 到目前为止,谷歌的所有意图都已实现。 SSL 挂锁的终结将标志着 HTTPS 革命的成功,也是互联网年轻历史上的重要篇章。
底线
第一个 SSL 协议问世至今已近三十年。 与早期的浏览器相比,整个互联网已经有了长足的进步,环境已完全不同。 网络加密现在无处不在。 旧版 SSL 和 TLS 协议已被淘汰,转而使用最新的 TLS 1.3 版本。
SSL 的发展历程告诉我们加密、身份验证、适应性、行业标准、可用性、可访问性以及安全持续性的重要性。 在我们努力为全球个人、企业和组织创建一个更安全、更有保障的数字世界时,这些经验教训为我们提供了宝贵的启示。
