首页 > CEO博客

美国政务云平台HTTPS加密应用研究与启示
2025年2月5日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

俗话说:他山之石可以攻玉。本文通过分析互联网公开信息所获取的美国政务云平台HTTPS加密应用情况,得出了可供我国政务云平台HTTPS加密应用借鉴的非常有参考价值的一些深度思考,并提出了一个适合我国国情的创新解决方案,可供相关产业机构、市场分析机构和政府部门规划决策参考。

一、 美国政务云平台简介

根据美国政务云官网cloud.gov介绍,cloud.gov 是一个安全合规的平台即服务。Cloud.gov 帮助联邦政府机构以更快、以用户为中心的方式为公众提供政务服务。Cloud.gov使得联邦政府机构能够专注于为用户提供政务服务,而无需管理底层服务基础设施。Cloud.gov内置合规性支持可帮助联邦政府机构创建合规政务服务并持续保证合规。Cloud.gov同时为用户提供平台即服务(PaaS)和合规即服务(CaaS)。

Cloud.gov由美国总务管理局(U.S. General Services Administration) 的技术转型服务组合中的一个团队构建和维护。Cloud.gov是一项成本可收回的服务,通过向使用其服务的联邦机构收取费用来筹集资金。其使命不仅是让政府机构更容易采用云部署,使政府机构能够快速向公众提供服务,同时是以最少的工作量实现政务应用安全性和合规性方面的最佳实践。

值得注意的是,cloud.gov提供的政务云服务是在商业云基础设施提供商亚马逊的云服务基础上提供的政务云服务,而不是自建政务云基础设施,这能节省大量的基础设施投资,同时由于集中采购也会比各个政府机构单独采购商业云服务更节省费用。

二、 美国政务云平台HTTPS加密应用研究

互联网政务平台的一个最主要的应用是Web服务,最重要的安全保障措施就是HTTPS加密。美国政府早在2015年6月8日就由总统管理和预算办公室(OMB)执行办公室发文《M-15-13》,要求所有联邦政府网站和电子政务服务建立https安全连接,并给出了时间表—各联邦政府机构必须在2016年12月31日之前为所有网站和服务启用安全连接(HTTPS),并支持HSTS(强制HTTPS)。

Cloud.gov 最早于2015年12月开始测试使用Let’s Encrypt提供的免费90天SSL证书自动化管理服务,直到2023年4月6日才正式为美国政府门户网站www.usa.gov启用SSL证书自动化管理服务,这个HTTPS加密自动化实施过程历时8年完成。可以说,美国政务云的SSL证书自动化过程是同全球商业网站的自动化过程几乎是同时开始,并在SSL证书自动化化系统非常成熟时适时启用,非常有远见和有魄力。笔者于2017年3月在由思科(北卡罗来纳州)承办的CA/浏览器论坛春季工作会议上聆听了美国政务云的运营负责人Eric Mill的演讲,当时就真实感受到了美国政务云在推动强制HTTPS加密的决心和信心,回国后也写了相关的文章。当时还只是在推动普及HTTPS加密,而SSL证书自动化管理也就是顺理成章的事情,因为要想普及HTTPS加密,如果没有自动化是无法实现的。

我们再看看www.usa.gov部署的SSL证书是什么样的,如下图所示,这是一张由Let’s Encrypt自动化签发90天免费SSL证书。Cloud.gov 采用第三方开源供应商 Let's Encrypt 签发的全球信任SSL证书,自动化实现HTTPS加密。一旦所需SSL证书由 Let's Encrypt签发,就会将它们自动上传到面向公众服务的负载均衡器上。

SSL证书 SSL证书 SSL证书

如下图所示,这是从国际证书透明日志系统查到的www.usa.gov申请的Let’s Encrypt 免费90天SSL证书的申请时间表,从2023年4月6日起,每60天就自动续期,虽然SSL证书有效期为90天,但已经提前安排续期,以免CA系统由于各种原因导致的无法签发证书而影响HTTPS加密正常运行。可以看出,美国政府官网从2023年4月6日正式启用HTTPS加密自动化服务,已经连续实施了将近两年时间,在此之前网站部署的是一年期Sectigo SSL证书。

SSL证书

大家可以使用零信浏览器访问美国政府官网,显示效果如下图所示,不仅会显示加密锁标识,而且还会显示绿色地址栏和显示“美国政府”,这是网站部署了EV SSL证书所显示的效果,为何此网站部署的是仅验证域名的DV SSL证书但显示EV SSL证书效果呢?这是因为此网站通过了零信浏览器的EV认证,以弥补DV SSL证书的身份缺失问题。显示中文“美国政府”则是零信浏览器EV认证支持中英文,中文版本显示中文单位名称,其他版本则显示英文单位名称。

零信浏览器

另一个更值得注意的是WAF防护标识F (由Cloud.Gov WAF提供),表明美国政府网站已经启用云WAF防护,并且这个WAF防护是由美国政务云自己提供的,这个是重点。大家都知道,WAF防护工作原理是从源站回源、SSL卸载流量分析、拦截恶意流量、转发正常流量的Web安全防护服务,这个重要的服务由美国政务云平台自建WAF服务来提供而不是商业第三方服务,这与SSL证书使用第三方CA说明了WAF防护更重要,涉及到政务数据的安全流通。

不仅仅是美国政府有政务云平台,英国政府也有- GOV.UK Digital Service Platform (英国政府数字服务平台),正在为超过1500个英国政府机构提供服务,并且也一样是自己提供类似美国政务云一样的自建云WAF防护服务(由Govuk Service WAF提供)。

零信浏览器

三、 美国政务云平台HTTPS加密应用对我国政务云平台建设的启示

笔者在前两段较为详细地介绍了美国政务云平台HTTPS加密的应用情况,包括HTTPS加密方式的WAF防护情况,其目的当然是希望能对我国政务云建设有所借鉴和启示作用。笔者有如下三个方面的观察和体会供参考。

第一:法规先行,切实执行。

美国政务云全部实现强制HTTPS加密,执行的是总统管理和预算办公室(OMB)执行办公室的文件要求。我国的力度更大,不仅有《密码法》,而且有各部委多次联合发文,特别是2024年7月1日施行的《互联网政务应用安全管理规定》,但为何现在的政务网站HTTPS加密普及率不到20%呢?问题还在难在RSA密码体系的SSL证书申请和部署受制于人,并且也不放心使用,因为已经发生过俄罗斯政府网站SSL证书被恶意吊销和断供的安全事件。而要想普及应用国密SSL证书实现国密HTTPS加密就需要所有系统都支持国密算法,都需要完成国密改造,这个执行难度更大,需要找到更快更好的技术解决方案。

第二:自动化是唯一正确之道。

美国政务云在全力推动普及应用HTTPS加密时,一定是遇到了瓶颈,因为需要在成千上万台服务器上人工申请和部署SSL证书的工作量是可以想象的,所以其运营团队很早就开始测试和实施SSL证书自动化管理,从证书透明日志系统的数据可以看出,从2015年12月开始就一直在多个政府网站测试和实施SSL证书自动化管理技术方案,最终于2023年4月正式为美国政府官网实现了HTTPS加密自动化。

这也是我国政务云平台必须走的技术路线,当然可以先实现RSA密码算法的SSL证书自动化管理,但是这是一个需要在Web服务器上安装第三方软件的解决方案,也许政务云主管们并不放心这个国外的第三方软件,也许这些重要的Web服务器根本就不允许安装任何第三方软件。这可能就是为何我国政务云平台并没有普及采用这个技术方案的主要原因,目前已经部署了SSL证书的政府网站中,有10%左右的县级政府网站实现了Let’s Encrypt的RSA算法SSL证书自动化方案。

为了合规安全,我国政务云平台要实现的是国密HTTPS加密自动化,国密SSL证书和国际SSL证书的双证书自动化管理,这就需要零改造的技术方案,需要不改造现有Web服务器的方案,目前市场上唯一已验证并开始实施的技术方案就是零信技术独家率先提出的国密HTTPS加密自动化管理解决方案,只需在Web服务器前部署零信国密HTTPS加密自动化网关即可,自动化实现国密算法HTTPS加密,并兼容支持RSA/ECC算法,只有这样才能普及实现HTTPS加密。

第三:HTTPS加密和WAF防护同步实施。

网站安全不仅仅需要HTTPS加密,还需要WAF防护,但是这个WAF防护不是使用第三方的云WAF服务,而是应该像美国政务云平台一样采购WAF设备建设自己的云WAF防护,这是为了切实保障WAF防护中的政务数据安全。当然,必须是自动化国密HTTPS加密方式下的WAF防护,因为WAF设备需要支持国密算法卸载SSL加密流量,同时需要HTTPS加密自动化和WAF防护自动化。

四、 建设全国一体化HTTPS加密+WAF防护+CDN分发的国家政务服务平台势在必行

这是笔者从美国政务云平台建设情况中悟出的一个新思路,我国已经建设了国家政务服务平台,各个部委和各省市自治区也都建设了省级政务服务平台,但是目前都是各自建设管理,并没有发挥其整体优势,中国政府官网和国家政务服务平台以及各省政府官网和省政务服务平台都在各自购买商业CDN+WAF防护服务,这不仅不能切实保障政务数据的安全,而且浪费了大量的系统运维费用。

更优的解决方案是基于全国各地的政务服务平台建设全国一体化的HTTPS加密+WAF防护+CDN分发的国家政务服务平台,各省市的政务服务平台就是一个国家政务专用CDN+WAF服务节点,从而构成一个能真正保障政务数据安全的政务专用CDN网络,而无需再花钱使用商业CDN网络。每个省政务云平台既为本省用户提供本地化政务服务,同时又是全国其他省市和国家政务云平台的CDN服务节点,为其他省政务用户提供本地快速安全分发服务,让政务数据不是在商业CDN网络上流通而是在政务专用CDN网络中安全流通,只有这样才能真正切实保障政务数据安全。

国家政务服务平台

这个政务专用CDN网络根本无需再投入一分钱,只需重新规划形成一个CDN服务网络即可,这样再也不需要花钱去购买商业CDN服务了,不仅省钱而且更加安全,让政务数据只在政务CDN网络上安全流通,而不是像现在那样在商业CDN网络上流通。而要保障安全流通,就必须支持国密HTTPS加密和WAF防护,这就需要自动化配置国密SSL证书和国际SSL证书,自动实现自适应密码算法的HTTSP加密和WAF防护。目前唯一可行的技术方案就是在国家政务云平台和各省政务云平台增加部署国密HTTPS加密自动化网关,这样就是实现了全国一体化的国密HTTPS加密+WAF防护+CDN分发的国家政务服务平台,为全国用户提供快速安全的政务服务。

国家政务服务平台

同时,为了节省国密SSL证书和国际SSL证书费用和自主可控,推荐自建国家政务云SSL系统,设立国密算法政务专用SSL根证书和定制全球信任的国际SSL中级根证书,由国密HTTPS加密自动化网关自动化对接国家政务云SSL系统,自动化为全国所有政务网站签发双算法SSL证书,自动化实现自适应算法的HTTPS加密自动化和WAF防护。当然,由于实现了SSL证书自动化,就可以实现像美国政务云一样的SSL证书密钥的每60天更新一次,确保密钥安全和HTTPS加密安全。

国家政务服务平台

这是一个真正的全国一体化国家政务服务平台,一个集HTTPS加密自动化、WAF防护自动化、CDN分发自动化于一体的国家政务服务平台,不仅节省大量的购买商业CDN/WAF服务的费用,节省大量的购买SSL证书费用,更重要的是能快速完成所有政务系统的国密改造和IPv6改造,切实保障政务数据只在政务专用CDN网络流通,真正实现普及商用密码来保障我国政务数据安全,真正切实保障个人和企业机密信息安全,真正让人民群众在信息化发展中有更多的获得感、幸福感和安全感。