SSL/TLS证书:回顾2018,展望2019

0
1813

本文将阐述为什么新的一年,你不应当期待它会放缓发展的步伐。

SSL行业经历了众多变化,尤其是在过去一年的时间里。2018年的大门即将关上,因此我们希望利用这次机会来回顾一下,我们在过去一年的时间里所走过的路程,SSL/TLS市场的现状以及我们所预计的2019年的发展走向。

2018年,SSL精彩纷呈的一年

浏览器用户界面不断改进,不安全的警告冲击着网络,GDPR生效,Comodo CA更名为Sectigo……2018年见证了大量与SSL有关的举措,而我们对此十分清楚。

HTTPS受到了越来越多的关注

毫无疑问,对网络加密的情况越来越多。大量有关这方面的文章证实,浏览器所倡导的全面加密正在成为现实。在其去年11月的趋势简报(Trend Briefing)中,DigiCert的威胁策略师Jeff Barto表示,Chrome上超过80%和Android上超过70%的页面加载现在都是通过HTTPS进行的。虽然这令人印象深刻,但仍有很多地方需要采取行动,根据我们最近的博客文章,在全球排名前10万的网站中,约21%仍未使用加密连接。

SSL市场持续增长

Netcraft在2018年6月的报告证实,SSL证书业务取得了显著增长。具体来说,与2017年6月相比,总证书数量增长了1320万张,同比增长68%。而且,其中80%的增长都来自域名验证(DV)证书,而扩展验证(EV)则增长了21.1%。

因此,尽管DV证书仍旧主导着市场,但高级证书还是有着一定的地位的,尤其是当你看到按证书类型划分的流量份额时。

如果你看到电子商务交易方面的情况,该比例甚至更高。

2019年前瞻

展望2019年,预测师们对SSL的预测大多是积极的。让我们来看看一些行业专家的预测。

根据CA安理会2019年的预测:

  • 到2019年底,超过90%的世界上的流量将通过SSL/TLS进行保护
  • 到2019年底,TLS 1.3将增长超过30%
  • 网络钓鱼(尤其是加密的网络钓鱼)事件将继续飙升

以下是DigiCert威胁策略师Jeff Barto 所做的预测:

Jeff Barto

  • 2019年我们将会醒来,要求知道我们所连接到的是一个合法的公司
  • 不一致的信任指标使得机遇与挑战并存,从而需要重新定义其所能做的,是什么意思,并创建新的
  • 这一年人们将对泄露事件感到厌倦,从而促使其采取控制和措施来保护他们的身份

以下是本刊所做的预测。

SSL业务只会有增无减

行业报告也支持我们的立场,即SSL将继续成为每个企业的安全预算中越来越重要的一部分。《IDG 2018年安全优先级研究报告》支持企业正朝着更积极主动的方向发展的这一观点,74%的受访者表示,最佳实践和合规性是推动企业安全支出的关键因素。而且,SSL市场的整体增速预计将是web主机或域名注册速度的近两倍。

因此,IT管理员或咨询师可以如何帮助当权者理解SSL需要成为其安全策略的一个重要组成部分?

SSL会话需要更多的加密

浏览器用户界面对SSL市场的增长当然产生了巨大影响,但这并不是驱动SSL证书需求增长的唯一因素。衡量是否应当使用SSL以及选择哪种类型的证书来保护他们的数据、客户和声誉时,企业还需要同等地考虑其他一些因素。

网络钓鱼——PhishLabs 2018年第三季度的报告显示,近一半(49%)的网络钓鱼网站会通过带有DV证书的HTTPS欺骗访问者,让他们相信他们是安全的。而且,正如我们之前指出的,安全感和安全肯定不是相同的东西。这也许可以解释为什么随着越来越多的机构选择从网络钓鱼池中分离出来,高级证书的数量在不断增加。

PCI合规性——对于那些接受信用卡的企业来说,PCI合规性是其不可避免的灾祸,而SSL证书在满足这些需求方面扮演着重要角色。这里有一些与SSL相关的问题,如果它们没有得到解决,就有可能在进行PCI合规性扫描时导致“失败”:

  • 使用了过期的SSL证书
  • 在错误的地方使用了不受公众信任的SSL证书
  • 使用了低于256位的加密
  • 使用了过时的TLS协议

PCI合规性审查失败可能导致企业每月面临巨额的罚款,从数万、数十万到数千万不等,还有可能导致企业的信用卡付款处理能力暂停,以及使它们更容易受到网络攻击。

GDRP——这些新法规于今年5月25日生效,但是,Gartner预测,到2018年底,仍有超过50%受影响的企业无法完全遵守。违反这一法规的处罚是2000万欧元或4%的年营业额,取两者的最高值。简单地说,这对亚马逊来说相当于70亿美元,比两年的利润还多。此外,可能还会根据违规的类型、暴露的数据、通知、补救和响应措施处以额外罚款。而且,这还不包括对声誉的不可挽回的损害,以及与保险、律师费和和解相关的成本。除了监管本身和可能的罚款之外,还有其他一些考虑因素,包括那些希望遵守GDPR和要求其遵守的合作伙伴公司。最后一点也非常重要,大量客户会期望企业小心谨慎地处理他们的信息。而且,在大量有关GDPR的文章中,某些要求是只能通过SSL证书才能实现的。

关于合规性的最后一点注意事项。事实上,根据《IDG 2018年安全优先级研究报告》 (IDG Security Priorities Study),企业正在认真对待这一问题,通过在这一方面提出预算来支持它。该研究报告显示,69%的企业认为合规性要求推动了支出。

数据泄露——几乎每天都会发生一起重大的数据泄露事件。阿迪达斯(200万记录被盗),脸书(多达20亿账户被盗)——名单还在继续。而且,还不仅仅限于大品牌。根据《2018年全球威胁报告》(2018 Global Threat Report),71%的公司报告至少经历了一次数据泄露事件。

Gemalto的泄露级别指数(Breach Level Index)对各项活动进行了追踪,然后报告称,2018年上半年共上报了945起数据违约事件,涉及45亿项记录。这相当于每秒钟就有291条记录被盗或遭到曝光,而得到加密的记录只有1%。事实上,Verizon的数据泄露调查报告指出,处理机密信息时缺乏加密和安全性,是最常见的泄密原因之一。如果你遭遇了黑客攻击,你难道不想确保你的公司和客户数据不会被坏人解密吗?

企业需要确保其已经实现了最佳加密实践,以保护静止(当数据在服务器上时)和传输(当数据在往返用户的途中)中的数据。30多年来,SSL证书一直是保护传输中的数据的实际加密和身份验证标准。简单地说,没有SSL证书会增加数据泄漏的风险。

中间人攻击——如果你没注意到的话,我们的主编Patrick Nohe最近对MITM攻击进行了更深入的研究,除了简单的互联网连接之外,还有更多内容。检测MITM攻击是一件困难的事情,因此防范是关键。再一次地,防止MITM攻击的唯一真正方法是使用SSL/TLS加密和HTTPS。让我换一种说法——它不一定能阻止攻击,但它会使被截获的数据变得无用,因此是安全的。

SSL,前程似乎一片光明

每个企业都需要SSL/TLS证书,这是有很多理由的。希望我们已经为你提供了一些见解,有助于你在2019年尽快采用SSL。

LEAVE A REPLY

Please enter your comment!
Please enter your name here