活在Web流量完全加密的世界里：FreeBuf专访赛门铁克全球高级业务发展总监D

跟Dean Coclin先生刚见到面的时候，打完招呼，他又急着补充了一句中国话的“下午好”，我也赶忙错愕地说了句下午好。其实老外来中国讲两句中文并没有什么好意外的，但先前备资料的时候，仅在LinkedIn上，就能发现Coclin是个兴趣爱好相当广泛的人——只不过这次借着ISC 2016大会1小时的采访有些匆忙，很多相关他个人的问题都还没来得及问，比如最近德语学得怎么样了？再比如作为威斯顿St. Demetrios Greek Orthodox Church教堂的Stewardship Chairman，您平常主要都做些什么呢？

Dean Coclin

当然，这些并非采访Coclin先生的缘由，他参加ISC2016大会的头衔是赛门铁克全球高级业务发展总监。光从这个头衔也不大能够了解Coclin究竟在赛门铁克做些什么。但我们从他十多年前在GeoTrust工作开始，基本就可窥见，他所擅长的业务领域。即便因为时间太紧，我没能赶上他在“数据安全治理论坛”上题为“加密无处不在”的发言，却也已经很清楚他这趟来中国要讲的是什么。

1“跟老面孔一起工作 我很开心”

早在2004年的时候，Dean Coclin就在GeoTrust担任国际销售与业务发展副总裁了。GeoTrust这家公司从2001年之后，主营的就是数字证书授权业务。不过这家公司2006年被VeriSign收购——VeriSign也是相当知名的证书授权机构。那个时候，Coclin从GeoTrust离职，与合作伙伴联合创办了ChosenSecurity——这家公司2010年时则被PGP收购；不久后赛门铁克收购了PGP。

另一方面，赛门铁克当时还从VeriSign手中收购了GeoTrust品牌。这样一来，兜兜转转，Coclin最终还是在赛门铁克与GeoTrust再聚首了。可以说，Coclin这十几年来都在做自己的老本行：数字证书授权，包括现在在赛门铁克的工作。

所以当我问他，有没有感觉这是命运的安排时网页中哪些是明文，他咧嘴笑出了声：“Er…跟老面孔一起工作，我很开心。这对公司而言也是好事吧，大家一起推动公司的发展。

所谓的数字证书授权，大部分对安全行业有关注的就应该知道，这当前也是赛门铁克的一项重要业务。其中包含了针对HTTPS的SSL证书授权。以HTTPS方式浏览网页的好处想必不用多说，主要就在通讯数据的加密上。相比明文的HTTP，采用HTTPS浏览网页才有安全性可言。为安全做考量，加密技术层面包括签名算法、安全Hash、加密算法等。为此，企业和网站需要向CA证书颁发机构申请SSL证书。

企业或网站在申请SSL证书的时候，首先需要经过一轮审核。所以SSL证书的主要作用就是身份验证与数据加密。赛门铁克作为CA机构，在这其中扮演的作用就是要“确认身份、企业真实性、业务信息可靠性”，“如果证明这些信息都是真实的”，“就会为你的网站颁发证书”。

在企业提出认证申请后，赛门铁克“首先是确认你拥有这个域名，我们会给whois记录中的邮箱发出邮件。如果你回函，就表明你的确拥有这个域名，这一信息用于域验证证书；在下一个层面，我们要确认你的业务真实有效，不同国家都有自己的企业注册机构，我们可以去查，确认这家企业是否正规。通过这些测试后就可以授予OV证书了。而对于EV证书，我们还需要做更多的核查工作，不仅有业务途经，甚至还可能前往拜访这家企业，或者有法律意见书。EV证书以及更高级别的证书授予之后，在用浏览器访问其站点时就会看到绿色标识了。”——Coclin的这番解释想必也是很多人好奇的问题，即CA机构在授予证书之前究竟做了些什么。

Coclin同意为每个需要的人提供免费的SSL证书对普及HTTPS是有好处的，“Let’sEncrypt提供的技术使用户能获得90天有效的域验证（DV）证书。这类证书仅能验证出域名的联系人申请了证书，但完全无法验证网站背后任何人的合法与否。”

“我不想说这种DomainValidation Certificates有什么不好，这对互联网而言是很棒的东西。但是对电子商务、银行等一些比较重要的业务来说，起不到什么作用。”“有些黑客可以注册个仿冒的域名，也可以去申请这种证书，仿冒域名可能和那些大型网站很相似，比如说仿照paypal.com注册个pay-pal的域名。”

我们在探讨免费的SSL证书颁发服务时，Coclin补充了相当有价值的一句话：“Encryption without authentication is reallymeaningless.”这也印证了，对HTTPS而言，身份认证和加密都是相当重要的。可见，仅有加密的连接仍是不够的，关注SSL证书详情——比如签发机构、具体的证书类型等等，以后可能会成为许多人浏览网站的习惯。

2未来的Web生活，加密将无处不在

我很好奇，既然HTTPS如此重要，Coclin自己平常的网站浏览习惯是否会与我们这些常人有差异。在谈到他个人平常浏览网页是否会关注HTTPS这个问题时，Coclin倒是饶有兴致地说了件事：“去年我要在某所大学注册个课程，上面要我填写我的姓名、地址，还有我的一些私人信息，但这家网站没有在用HTTPS，所以我就想我不打算继续注册了。我还给这所大学打了电话，我说：你们应该知道，你们是在请求一些私人信息，却没有将数据传输进行加密。他们就问我，这有什么重要的？我就说：你们这么做，无异于让我在一张明信片上写上我的姓名、地址、各种信息，寄出后跨越整个国家，这张明信片在邮局之间传递，每个人都能看到我的这些信息，这和HTTP是一样的网页中哪些是明文，在页面填写信息，这些信息就在服务期间穿梭，任何人都能看到这些信息。”

“我的确说服了他们转而采用HTTPS，这应该是我在这方面的第一次成功吧（笑…）。”

我又以很单刀直入的方式问Coclin：在您看来，以后我们的Web生活都应该是加密的吗？他毫不犹豫地回答：是的，我预测以后的Web流量都会是加密的——也就是推行HTTPS。这就是Coclin畅想的加密世界。

“虽然现在有97%的Web流量都还没有加密”，但HTTPS会成为一个趋势，“我在今天的演讲中谈到了好几点有关HTTPS有极大驱动力的因素。其一是，未来的浏览器会给那些仅采用HTTP浏览的网站标上红叉——网站肯定不会希望用户看到这样的红叉，用户都希望看到一把锁的标志。”

Coclin还提到了一点，恐怕是很多人先前从未听说过：“如果只采用HTTP，浏览器中的很多功能就不能再用了。比如说对地理位置的支持：你去访问一家网站，然后想要知道最近的星巴克在哪儿，这就需要用到定位了，如果不用HTTPS的话就不能实现了；还有移动设备屏幕重力感应显示网页，也需要用到HTTPS。”——虽然这些特性听来似乎和HTTPS并不相关，不过我们特别去查资料才发现早在今年2月份，谷歌就宣布Chrome 50的定位API，对未使用HTTPS的Web应用而言将不再可用，竟然真有此事！所以有关屏幕重力感应那条，是Android的限定吗？

“另外HTTPS还有针对数字内容，比如音乐或电影的保护特性；还有很重要的一点，浏览速度更快的HTTP/2，也只支持HTTPS。”

说到这儿，Coclin特别开始在自己的笔记本上寻找一组数据，预备呈现给我看，即SSL证书在中国的成长——这张图似乎并未包含在这次他演讲的PPT中。“虽然跟中国的网站总量比起来，HTTPS站点的数量不算什么，可能只有大约2个百分点，现在还很低”，“但中国的HTTPS普及率正在快速上升，等我下次再来的时候，肯定就到这儿了！”他用手比画着，拉了个很高的位置。

3从网站托管服务提供商入手

赛门铁克当前在SSL证书颁发方面的绝对领先位置想必已经不必赘言——旗下几大Root CA机构，包括Geotrust、Thawte等都极具知名度。不过赛门铁克似乎并不满足于此，所以才有了Coclin预期的整个Web世界的加密。而这次Coclin来中国似乎就是为了宣传这个名为“加密无处不在（Encyption Everywhere）”的项目。这其实不光只是个理念，而是推向网站托管服务提供商（Web hosters）的。

对网站托管服务提供商而言，如果选择赛门铁克的这项“加密无处不在”解决方案，则针对其下属的客户，在每个网站建立之初，就能将加密集成进去——也就是这样一来，网络托管服务提供商能够免费为那些网站客户提供免费的基础网络加密服务了（Domain Validation Certificates），当然站点也可以选择升级到收费的SSL证书服务，包括前面所说的EV等。

这应该算是赛门铁克推行SSL证书授权业务的新方式，从更上游的参与者着手，对于推行HTTPS的普及化大概也的确会更有意义。这是最后我在询问Coclin，赛门铁克未来SSL证书授权的规划方向时，他着力表达的一番话。

因为这次的采访时间实在没有很充裕，我和Coclin先生并没有谈得面面俱到，比如像是HTTPS的整站加密问题，还有谈话中稍稍略过的赛门铁克的另一个业务codesigning等等——这也是Coclin负责的一个业务方向，同时也是赛门铁克的长项之一。

虽然我们不能断言Coclin畅想中的这个Web完全加密的时代，终究会在何年何月到来，但Coclin在谈话间似乎相当笃定，这不过是时间问题。这样的加密趋势，亦是许多安全从业人员倡导的，比如前不久的Black Hat USA2016大会上，哥伦比亚和伊利诺斯大学的2名研究人员就公布了现如今加密保护有多不充分的数据和调查。

比如即便是亚马逊、eBay这种站点，HTTPS也只针对登录和结账页面才有部署，攻击者依旧很容易获取到用户名和邮箱地址，甚至篡改用户购物车中的商品、查看购物记录。同时在针对哥伦比亚大学WiFi网络的监听实验中，截获大量cookie，28.2万帐号信息，这和绝大部分站点仍采用HTTP连接是存在很大关系的。大约就像Coclin所说的，尽快普及HTTPS，“加密无处不在”，才是应对之道。