前几讲讲的内容都与SSL证书有关,但笔者明确地告诉读者朋友,用户需要的不是SSL证书,需要的是用SSL证书实现的https加密,用户需要自动化实现https加密。如何实现自动化,国际上的解决方案是Let’s Encrypt提出的解决方案—用户在服务器上安装ACME客户端软件,让客户端软件来自动向CA系统申请证书并部署SSL证书,自动化实现https加密。但是,这个方案仅适用于自动化部署国际SSL证书,这个方案的缺陷是需要在服务器安装一个软件,这对于很多用户也是做不到,一是不敢动正在运行的服务器,而是不愿意在服务器上安装第三方软件。怎么办?本讲解一个无需安装任何软件的硬件解决方案。
什么是SSL加速?英文是SSL Acceleration, 是指由SSL加速卡(SSL Accelerator)来提供SSL协议握手消息的加密和解密。SSL卸载的英文是SSL Offloading,是指由SSL卸载卡来提供SSL加密流量解密为明文流量给Web服务器处理。前者是针对客户端浏览器来讲的,能加速响应客户端的https握手连接;后者则是针对Web服务器来讲的,能减轻Web服务器的解密负担。
SSL加速卡和SSL卸载卡一般都是同一张硬件密码卡同时提供SSL加速和SSL卸载功能,这个产品也是一个比较“古老”的产品,从1994年有了SSL证书实现https加密服务后的不久就有了SSL加速和卸载卡,因为当时的Web服务器性能比较差,SSL加密和解密几乎消耗了服务器的30%-60%的资源,所以,必须有一个独立的硬件卡来负责https加解密工作,从而减轻服务器的负担。但是,随着Intel CPU在2008年内置了支持AES算法提供加解密功能,以及CPU的运算能力的不断提升,https加密给服务器增加的负担大幅下降到3%左右,特别是ECC算法SSL证书的广泛部署使用。这些就使得原先市场上大量的SSL加速卡好像突然就消失了,现在能搜索到的厂家已经非常少了,基于SSL加速卡实现的SSL网关产品也就在市场上很少见了。
既然SSL加速、SSL卸载和SSL网关等产品已经在市场上几乎被遗忘了,为何笔者还要在密码讲堂来专门讲这个主题呢?因为笔者看到了这个几乎要被淘汰的产品可以在我国的国密改造中发挥大作用!SSL网关或称HTTPS网关这个比较古老的产品如果结合先进的云密码服务、高性能密码卡和强大的CPU处理能力将能派上大用场。
大家都知道国密https加密改造很难,要普及国密https加密必须是自动化实现,而不是手动改造Web服务器和手动部署国密SSL证书!国际上的方案是在服务器安装一个客户端软件,但是这个解决方案也很难用于实现国密https加密自动化,因为要实现国密https加密必须是Web服务器软件也支持国密算法,这就必须改造Web服务器软件,但这并不是一件容易的事情,更何况用户的需求是尽量不要动现有的服务器就能实现国密https加密!怎么办?
采用SSL加速卡实现的SSL网关就可以排上大用场了!当然不是传统的SSL网关,还需要改造成HTTPS加密自动化网关,才能担起自动化实现国密HTTPS加密的重任。
国际ACME解决方案是在Web服务器上安装ACME客户端软件,由ACME客户端软件自动连接ACME服务系统实现自动化签发RSA算法SSL证书。而国密ACME解决方案则无需在Web服务器上安装任何ACME客户端软件,Web服务器无需改造支持国密算法,只需在Web服务器前部署国密HTTPS加密自动化网关,网关已经内置了国密ACME客户端软件,会自动连接国密ACME服务系统实现自动化签发SM2算法 SSL证书和ECC算法SSL证书,自动化实现双算法双SSL证书部署,自适应加密算法实现https加密,自动卸载https加密流量并转发到后面的Web服务器,实现零改造国密https加密。
国密HTTPS加密自动化网关就是一个在传统的SSL网关的基础上增加了ACME功能的零改造实现国密https加密改造的创新产品,这是一个让“古老”的SSL加密卡在国密改造浪潮中焕发新活力的新物种,能大大降低我国普及国密https加密的实施门槛,从而大大加速国密https加密在我国的普及应用,大大加快采用国密算法和国密产品来保障我国互联网安全的步伐,大大加快提升我国互联网安全的保障水平。