网站安全需要“看得见”2022年10月24日

今天是程序员节,笔者作为一个老程序员特撰文向大家揭秘公司新程序员们的杰作--零信浏览器,这是全球首个支持国密证书透明,首个让网站安全“看得见”的完全免费的国密浏览器。笔者也借此文祝所有新老程序员节日快乐。

一个网站是否安全,一般来讲是看不见的。而为了让用户看得见,所有浏览器都会对http访问的网站提示“不安全”,这是要让用户看得见这个网站是不安全的。HTTP是明文传输协议,从浏览器到服务器之间是明文传输各种机密信息,非常容易被非法窃取和非法篡改,所以浏览器直接在地址栏显示“不安全”,让用户“看得见”!如下左图所示为谷歌浏览器显示的“不安全”。同理,如果浏览器使用https访问网站,则显示加密锁标识,也是为了让用户“看得见”此网站的“连接是安全的“,如下右图为谷歌浏览器显示的加密锁和提示“安全”。

不安全 连接是安全的

笔者认为,仅仅只有两个“看得见”的设计还是不够的。所以,零信浏览器除了对http网站显示“不安全”和对https网站显示加密锁外,还增加了5个非常有特色的“看得见”的安全,能真正帮助用户看得见正在访问的网站是否安全。如下图所示。

5个特色看得见安全

第一个“看得见”的安全是加密锁标识

与其他浏览器的加密锁标识不同的是,点击加密锁标识,零信浏览器会实时显示此网站的安全评级,明确告诉用户这个网站到底有多安全,分A、B、C、D、E、F六个安全等级,分别从SSL证书、协议支持、密钥交换、密码强度、云WAF防护和可信认证等6个维度打分得出安全等级,最高等级是A+。同时,零信浏览器把谷歌浏览器显示的“连接是安全的”改为“连接已加密 (SM2)”,因为部署了SSL证书只能说明从浏览器到服务器之间的连接是加密的,部署了SSL证书并不等于安全!而“连接已加密”后面的括号显示的是此次加密连接采用了何种加密算法,如RSA、ECC 和SM2等密码算法,其中SM2为国产密码算法。

安全是加密锁标识 安全是加密锁标识

第二个“看得见”的安全是国密加密标识 mi

明确告诉网站访问者此网站已经部署了国密SSL证书,零信浏览器采用了国密算法SM2实现国密https加密,让用户看得见这个网站是国密合规的。点击国密加密标识,不仅可以看到网站是“国密合规,密保合规”的提示和解释SM2/SM3/SM4各个密码算法的作用。

同时,用户还可以看到国密证书透明标识,明确告诉用户用于网站国密加密的国密SSL证书是否满足零信浏览器的国密证书透明要求,如果证书中包含了可信的证书透明列表,则会显示“国密证书透明”,并列出证书透明日志服务器列表。如果未包含零信浏览器信任的证书透明SCT数据,则会显示“国密证书不透明”。这一个“看得见”非常重要,可有效防止恶意签发的用于攻击和欺诈的国密SSL证书,从而保护国密SSL证书本身的安全,只有国密SSL证书自身安全可信有保障,才能真正保障国密https加密的安全可信。

国密加密标识 国密加密标识

第三个“看得见”的安全是云WAF防护标识 waf

明确告诉网站访问者这个网站已经有了云WAF防护,这个“看得见”对网站安全非常重要,云WAF防护会检查每一次Web连接是否是恶意攻击,放行正常连接并拦截恶意连接,有效保障网站的安全运行。一个网站如果只有https加密而没有云WAF防护,则仍然是不安全的。

点击云WAF标识,不仅明确告诉网站访问者这个网站有云WAF防护,而且是“等保合规”,因为云WAF防护是等保合规中要求之一。同时还会显示此云WAF防护由哪家服务商提供,这也能为网站访问者增强对网站安全防护的信心。零信网站安全云服务集成的云WAF服务由业界领先的阿里云WAF提供。

WAF防护标识

第四个“看得见”的安全是网站可信身份认证标识 T4

明确告诉网站访问者这个网站的身份已经认证,认证级别为T4级,最高可信级别,等同于国际标准中的EV SSL证书的扩展验证。点击认证标识会显示网站的身份信息,包括单位名称、注册号、注册地和国家等信息。第二个图标显示此网站身份认证由哪个机构认证。一般为零信浏览器或第三方CA机构等。

网站可信身份同https加密一样重要,因为一个假冒银行网站也极有可能也部署了免费的DV SSL证书使得浏览器会显示加密锁标识,这就给网站访问者造成了安全威胁,会误以为其他浏览器提示了“安全”就真的是安全网站!这就是为何零信浏览器不显示“安全”而是改为“已加密”的主要原因。

网站可信身份认证标识

第五个“看得见”的安全是绿色地址栏和显示单位名称和国家

这一点也非常重要,明确直接告诉用户这个网站的真实身份,而不管网站页面上声称这个网站的单位名称是什么,地址栏上显示的单位是经过第三方验证的单位名称。绿色地址栏则非常醒目地让网站访问者知道这个网站是可信的安全网站,以前各大浏览器会对部署了EV SSL证书的网站显示为绿色地址栏,可惜不知为何就消失了。零信浏览器让绿色地址栏重新回到用户的视线,这对于防止网站被假冒非常有用,银行只需告诉其用户如果看不到绿色地址栏则一定是假冒银行网站,这非常管用,简单实用。所有零信网站安全云服务用户的网站都是通过EV认证的,使用零信浏览器访问都会显示绿色地址栏。

绿色地址栏和显示单位名称和国家

相信广大读者通过上面的5个“看得见”的安全一定能全面了解一个网站是否安全,5个安全“看得见”加上1个“不安全”的“看得见”,共计6个“看得见”能有效和高效帮助网站访问者对网站的安全状况一目了然,这些创新由零信浏览器全球独家提供,能真正切实保障网站访问者的安全,欢迎广大用户免费 下载 使用零信浏览器,保护自身上网安全。

点击 这里 下载此文 (PDF格式,有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自证签CEO博客)