也许有一天，HTTP网站不再能访问了 | 专访Digicert产品与标准副总裁Dean.J. Coclin

这两年，以谷歌为首的浏览器纷纷推崇 HTTPS，并将 HTTP 标记为不安全，引发大量网站改版升级。这一变化推进了用户网站的安全性提升，并为企业数字证书提供商带来了更多市场。

我觉得以后浏览器甚至可能直接不显示 HTTP 网址的页面。这样一来，没有加密的网站就无法继续留存。这也促进了网站使用加密证书，增加了证书需求量。

在FIT 2019 大会现场，DigiCert 的产品与标准副总裁 Dean.J. Coclin 在接受 FreeBuf 采访时，谈到了当前加密证书在物联网市场等新兴市场中的应用，并介绍了数字证书与加密业务的发展与趋势。 

看不到？点 这里

加密无处不在

一直关注 FreeBuf 的读者可能知道，2016 年 Dean 就曾接受过我们的采访，当时他还是赛门铁克网站安全业务单元的负责人。从业三十年来，Dean Coclin 经历过很多不同的企业收购与并购，但业务一直围绕着数字证书授权以及加密展开。多年兜兜转转似乎像命运的安排，Dean 却似乎并没有很在意。一方面，如他之前所说，跟老面孔一起工作很开心，可以一起推动公司发展。另一方面，一直与数字证书与加密业务打交道的他，来到了同样聚焦这一业务的 DigiCert，也更能百分之百地专注。

我曾在赛门铁克待了七年，之前赛门铁克曾因为证书发行问题深陷争议。DigiCert 接手赛门铁克的证书业务之后，就面临着重大挑战，必须重新发行数百万存在争议的证书。最终，我们还是用最少的发行量解决了问题，且避开了失误。大部分客户对于这样的补救都很满意。也就是说转到 DigiCert 之后，我们首战告捷。对我来说，这是很开心的事情，也是新的体验。

这样的处理结果也得益于 DigiCert 在数字证书领域深耕多年所积累的经验。DigiCert 成立于 2003 年，当时创始人出于“寻求更好的方式帮助用户在 Web 服务器上安装数字证书”的考量，建立了这家公司并集中精力做 CA 业务。2017 年，DigiCert 收购了赛门铁克曾占全球网站安全市场份额较大的网站安全业务，并妥善处置争议，此后发展愈发壮大。

如今，在“加密无处不在”的全球局势中，DigiCert 势头俨然一片大好，客户涵盖银行、电子商务、技术、医疗保健与制造企业，且业务范围也从 Web 加密拓宽到 IoT 等新兴市场的身份验证、加密等。

在有着 30 年从业经验的 Dean Coclin 眼中，数字证书与加密行业其实也经历了巨大转变：

例如PKI（公钥基础设施）从 90 年代鲜有人知发展到现在成为不可或缺的“实用工具（utility），甚至能实现即插即用。

这样的发展，其实符合安全领域的变化以及当前企业在安全方面需求，也离不开 DigiCert 等加密证书厂商的推动。加密无处不在，加密也要与时俱进。这是他想要强调的重要一点，也是 DigiCert 的愿景所在。

当数字证书遇到物联网

众所周知，物联网在提升生活便利性的同时，也带来了不同的威胁。制造企业，特别是低价消费类电子产品制造企业，为了将产品迅速推向市场或节省成本，经常在设计阶段忽略安全细节，很容易被黑客或他人利用。就此，Dean给出了一些建议。

对于已经使用但处于风险中的设备，可以采取以下措施：

将设备与公网隔离，加上防火墙并连接到隔离网络中，设置访问权限，只允许有授权、有凭证的用户访问；

在条件允许的情况下，将这些设备替换掉；

修改默认密码、设置复杂密码；

关闭不需要的端口

……

而对于即将生产或处于设计阶段的物联网设备而言，就可以结合数字证书来增强安全性，主要是实现对设备的强身份验证；端到端加密以及代码数字签名。

Dean 介绍说，DigiCert 在 IoT 设备安全建设方面有着 15 年左右的经验，他们针对 IoT 的证书发行系统与针对Web 服务器的系统并不相同。通常来说，web 服务器的证书发行需要认证和授权，且主要遵守CA/Browser 论坛和 WebTrust 标准，只能一次发布一张证书。而由于目前物联网设备数量庞大，且不断增加，20年内甚至会达到万亿级别。所以 IoT 证书发行的系统要兼顾速度与效率，有时还要批量发行。例如，有电视机生产商一次性可能就需要 10 万份证书用于安装在新生产的设备中，那么 DigiCert 就批量发行这批证书，送到制造商手中。以确保制造商能及时为数量庞大的设备安装证书。针对这一情况，DigiCert 还开发了一套系统，专门解决这些问题。

在大会的演讲中，Dean 以一款安全性较高的芭比娃娃为例，向听众传达了“ 在设计阶段考虑安全性 ”的建议。在此之前，他还曾在个人领英首页分享过一篇文章，也是以玩具为例，探讨“物联网设备如果不安全，是否还应当联网”的问题。

当我们问他为什么偏偏在众多物联网设备中选玩具作为例子的时候，他哈哈一笑：

其实这也是偶然所得。去年我在互联网玩具大会上有个演讲，所以我就要去研究一下。其实，除了联网玩具，很多其他物联网设备的研发速度都很快，进入市场的价格也比较便宜。为了追求速度和便宜的价格，安全就难以有保障。所以，我们必须让这些厂商意识到必须要确保联网设备的安全，否则这些设备会很容易受到 Mirai 僵尸网络等病毒的攻击，进而造成较大威胁。

所以他也强调：要想使用证书保护物联网设备，最重要的还是在产品设计、制造、部署或持续维护期间就将PKI融入其中，同时保持 CA 基础设施的灵活性。这其实类似近些年呼声颇高的 DevSecOps，也是DigiCert 推崇与不断践行的理念：数字证书作为基础性的安全措施，融入到产品和设备的开发生产当中，以便更好地确保安全，应对风险。

也许有一天HTTP不能再访问

谈及数字证书，我们无可避免地聊到了 HTTPS 的话题。Dean 认为现阶段 HTTPS 已经普及。谷歌等浏览器厂商通过推行 HTTPS 进而推动了web 流量完全加密。目前很多浏览器中的 HTTP 网页都会出现“红叉”或“不安全”的标记与提醒，而未来，很多浏览器甚至不会再显示 HPPT 网址的页面，让没有加密的网站无法留存。这也促进了网站使用加密证书，增加了证书需求量。

以前我曾经看到有报告说 web 网站中的证书数量已经超过了 4600 万张，现在这个数字已经翻倍还不止。主要就是浏览器推行 HTTPS 所致。

尽管 HTTPS 的前景大好，但当前我们常常谈论的区块链、云计算、AI等新技术也会带来新的攻击面。Dean与参与采访的 DigiCert 中国区经理陈志红都提到了量子计算，认为这是未来需要重点关注的问题。

如果量子计算机不断发展，未来量子达到一定的数量，就可能对传统加密方法造成冲击。这种事情一旦发生，后果将不堪设想。所以 DigiCert等数字证书代表厂商也已经着手研究量子安全算法，将他们融入证书解决方案。如果未来量子计算机成为主流，那么带有量子安全算法功能的证书可以保护计算机，使之远离加密错误等类似威胁。

当然，新技术带来的也有新机遇。Dean 说，DigiCert 的研究团队已经与很多不同类型的机构开展合作。他们还专门设立了一个团队来研究区块链技术，将其用于身份验证。在网站加密普及之后，下一阶段比较重要的就是网站身份验证了。利用一些扩展验证证书，如 EV 证书等，可以为用户展示网站信息，有效辨别网站真假。当前，其实全球大量金融机构都已经使用了 EV 证书。现在也有研究表明，一些用户对 EV 证书已经有了认识。DigiCert 自身也在大力推行 EV 证书。

数字证书在不断进步，当然我们还需要继续努力。

相比其他厂商或演讲者提到的多种抵御风险和威胁的解决方案，DigiCert 这种一门心思专注于数字证书和加密，并不断改进、发展，也是另一种很酷的践行并推行安全的方式。Dean 在谈话中说，利用一些证书和工具，可以让消费者访问网站时，点击相关按钮就能看到网站详细信息，从而验证网站真实性，避开更多风险。这些技术已经在使用了，而我们期待的是，在越来越多的网站上看到这样的安全验证。也许有一天，HTTP 网址都无法再访问，HTTPS 成为常态，而基于加密和证书的安全验证，会成为证书厂商着力推进的下一个重点。

 *FreeBuf官方报道，转载请注明来自FreeBuf.COM。