首先解释一下题目中用到的两个英文名。“ACME”是自动化证书管理环境的缩写。它是RFC 8555国际标准,用于自动获取和部署SSL证书,包括ACME客户端和CA服务器的相关协议标准。“CWAF”是云Web应用防火墙的简称,是云服务的一种。用于识别和保护网站或app的业务流量的恶意特征,将正常安全的流量返回web服务器,拦截恶意攻击流量。
今天零信网站安全云服务上线,我们写了一篇文章,讲了我们是如何选择技术路线的:ACME还是CWAF?公司最初的产品开发计划是提供基于ACME国际标准的https加密服务,为用户提供全自动的SSL证书部署。不过今天上线的产品不是这个,而是云WAF服务提供的基于全自动SSL证书部署的https加密服务。为什么研发方向会有这么大的变化?这篇文章披露了更多的内部细节。
为了保证官网的证书申请和管理系统的安全,我们在官网上线的时候,选择了阿里云WAF服务来保护官网的安全。用了才知道。有了cloud WAF服务,不仅可以保证网站的安全性,还可以实现https加密服务。这让我不得不重新思考一个重要的问题:用户还需要ACME式的自动SSL证书服务吗?我们有必要开发ACME客户端和SSL证书颁发系统来对接ACME客户端吗?今天零信任网站的在线安全云服务已经给出了答案,这是我司作为云WAF用户自身的明智选择,也成为我司计划提供的https加密服务技术路线的必然选择。
众所周知,对于没有部署SSL证书的网站,所有浏览器都显示“不安全”。这不是浏览器厂商的威胁,但是真的不安全,因为http是明文传输。如果不采用https加密传输,用户在网站上输入的所有机密信息都很容易被非法窃取和篡改。要实现https加密,必须向CA购买并申请SSL证书。最终获得SSL证书后,你要在服务器上安装配置SSL证书,实现https加密,这样浏览器就会显示安全锁标志,而不是“不安全”。
申请和部署SSL证书是一件痛苦的事情。作者和广大用户一起苦了18年,所以一直想为用户提供一个可以减轻痛苦的解决方案。好在市场上已经有完全免费的SSL证书申请和部署服务——还是加密吧。这项免费的SSL证书服务在短短六年时间内赢得了全球SSL证书市场60%的市场份额,遥遥领先于其他ca,并已为全球用户颁发了4.43亿份SSL证书。其成功的秘诀在于,用户只需在服务器上安装一个ACME客户端软件,就可以自动获得由Let's Encrypt颁发的完全免费的SSL证书。为什么《咱们加密》这么火?因为用户需要简单无故障的解决方案,当然最好是免费的。所以其他ca也开始支持ACME协议自动向用户提供SSL证书,这也是我最初的打算。
但是当我们使用阿里云WAF的时候,我果断终止了原来的RD计划,改为基于云WAF服务的全自动https加密。这个方案比ACME更简单方便,不需要在服务器上安装任何客户端软件,只需要做两次CNAME域名解析就可以了!我们将云密码服务的全自动SSL证书申请功能集成到阿里云WAF中,实现了对阿里云WAF的SSL证书全自动配置,从而在阿里云WAF的基础上实现了全自动https加密。不同的技术路线实现了我们设定的目标,更简单,更先进。同时实现https加密和网站安全保护,因为只有https加密不能保证网站安全。唯一遗憾的是不能免费,因为所有的安全服务都是有成本的,需要收费。好在云服务大大降低了成本,让云WAF服务成为一种实惠的网站安全防护服务。同时,我们的创新解决方案得到了阿里云WAF的大力支持,特别定制了用户可以负担的年充电方案,进一步降低了用户使用云WAF的成本,已经将成本降到了1000元以内。
更让人意想不到和兴奋的是,云SSL加云WAF的解决方案彻底解决了困扰笔者多年的一个技术难题——虚拟主机用户无法安装独立的SSL证书,因为这个解决方案根本不需要在用户服务器上安装SSL证书,用户的网站只需要通过CNAME域名解析成为WAF的源站点即可。一个非常巧妙的解决方案,帮助所有虚拟主机网站用户彻底摘掉“不安全”的帽子,从此不用在浏览器上显示自己的网站“不安全”。
也就是说,用户可以选择ACME解决方案,但只能保证网站有https加密,并且必须有自己的服务器,服务器上必须安装ACME客户端软件。现在,用户有了新的选择。如果我们选择我们的解决方案,我们不仅可以确保网站有https加密,还可以保护它免受恶意攻击。此外,我们不需要将服务器移动到任何地方,安装SSL证书,安装ACME客户端软件,或者拥有一台服务器。它可以是虚拟主机。原网站完好无损。我们只需要做两次CNAME域名解析,10分钟就可以消除所有浏览器的“不安全”警告。当然,用户的网站在不在阿里云并不重要。只要是可以上网的网站,都可以用我们的云服务来保证网站安全。这绝对是两全其美的最完美的网站安全解决方案。
笔者在规划这个新方案的时候同时测试了阿里云WAF、华为云WAF和腾讯云WAF,但最终选择开发一个基于阿里云WAF的SSL证书自动部署方案,因为我们认为阿里云WAF的性能、功能、接口更容易与我们的云SSL服务集成。我们还计划测试微软云WAF和亚马逊云WAF,但是他们的云WAF设置太复杂,一般人修不好,所以我们放弃了测试。在这一点上,笔者不得不称赞一下我们国内的云WAF服务,都是傻瓜式的一键修复,非常对我们的“一键修复SSL”的胃口。所以后续我已经打算和国内多家云WAF服务商对接,让我们的用户有更多的选择,满足他们不同的应用需求,适应更多的云环境。
Acvs cwaf,拿到了吗?是“https”vs“https+waf”!“网络安全1.0”vs“网络安全2.0”!
