1、您可以介绍一下您和亚洲诚信吗?
翟新元,亚数信息科技(上海)有限公司联合创始人,现任CEO一职
十年以上信息安全行业从业经验,PKI/CA领域资深安全技术专家,在SSL/TLS,HTTPS传输安全,数字证书等方面拥有深厚的技术背景和研究。曾就职于国际知名CA,任中国区技术总监。目前任职于亚数信息科技(上海)有限公司CEO,主导公司战略发展管理。
关于亚洲诚信:TrustAsia亚洲诚信是亚数信息科技(上海)有限公司应用于信息安全领域的品牌,秉承以技术服务为核心,致力于对符合本地化的SSL证书技术及相关网络信息安全实施方案的研究和推广,作为DigiCert/Symantec亚太区白金战略合作伙伴和首席安全技术专家战略合作伙伴,在数字证书领域和互联网安全领域位居领先地位,为各行业提供国际知名品牌SSL数字证书、TrustAsia®自主品牌的SSL证书以及自主知识产权的SSL证书管理、SSL协议级监测和证书风险评测等一系列网络信息安全管理解决方案。
2.今年Google浏览器把采用HTTP协议的网站标记为“不安全”网站,同时其开放了域名 .app 域名的注册,并声称是全球首个需要 HTTPS 加密的顶级域名,您怎么看?
基于这个问题,我们当初也关注到了这个新闻,Google作为全球最主要致力于推动HTTPS的一个服务商,我们看到它推出的第一款域名(.app)强制要求采用HTTPS,我们是举双手欢迎的,因为每一个大型服务商都应该积极致力于推动网站安全,但是,一般注册商在推动网站安全上都是采用保守的方式,他们会建议客户去采用HTTPS,很少会有服务商去做强制HTTPS的实行,现在我们看到Google把第一款域名.app强制使用HTTPS,这意味着一个新的里程碑,我们也相信在未来,会有越来越多的域名注册商会要求域名强制使用HTTPS,看上去它似乎是一个强硬的手段,实际上这是把用户的安全体验放置第一位的,我们相信这个Google域名.app只是一个开始,绝对不是一个结束。
3.您作为信息安全行业的专家可以为我们介绍一下为什么HTTP一定要过渡到HTTPS吗?
HTTP的协议从发明到今天已经接近三十年了,早期HTTP设计出来只是为了考虑到用户的便利性,因为在那个年代,基于HTTP的互联网应用非常的单一,非常的简单,只是为了把图文传输给互联网的另外一端,从来没有想过把很多应用尤其是生意搬到互联网上,而现在,整个互联网的应用已经很广泛了,包括我们每天的网上购物,在网上购买虚拟货币,炒股,投资以及贸易,几乎都是基于互联网来做的,而这些互联网的应用,应该是说95%以上都是基于HTTP的协议来传输的,然而,我们原先设计出来的HTTP协议已经不符合当下的应用了,因为HTTP传输所有的数据都是以明文传输的,那就意味着使用线上交易的各类应用,包括我们个人使用的一些互联网应用,其用户隐私和关键信息都可能随意被泄露,所以,HTTP已经到了该淘汰的时候了,现在轮到HTTPS去支撑用户的各种应用,所以这个答案是肯定的,必须要从HTTP过渡到HTTPS。
4.目前数字证书的种类繁多,您可以简单为我们介绍一下吗?
目前,数字证书只是指一个行业,它是一个统称。实际上,数字证书的应用非常多,我们提到的HTTPS是属于数字证书其中的一种应用,这种产品名称叫SSL证书,或者又名叫TLS证书,这种证书的主要功能是用来实现网站的客户端和服务端之间传输的安全,数字证书除了SSL证书之外,其实还有很多其他应用的证书,比如说,我们用于软件发行,为了确认软件发行商的身份,以及确认这个软件从发行商发行之后,软件没有被第三方篡改或者没有被感染病毒木马,这一种证书叫软件代码签名证书;另外一种叫安全电子邮件证书,这种证书主要的应用场景,是用来保护邮件的甲方和乙方发送的一个高安全的电子邮件,如使用了安全电子邮件证书进行签名的,那么从甲方到乙方的邮件,乙方收到邮件以后可以确保邮件一定是来自于甲方,因为里面有会有甲方的身份签名,收到的签名信息看到它是完整的,就意味着甲方发给乙方的邮件一定没有被篡改,除了这个邮件签名之外,安全电子邮件证书还有另外一个功能,就是实现电子邮件的加密,就是说甲乙双方如果在发送一个包含着隐私信息的电子邮件的话,如果使用这个电子安全邮件证书来进行加密,就可以确保其邮件在传输过程中一定不会被第三方截取,即使截取到了也是加密后的密文,是不可能反译下来进行破解的。还有一种叫文档签名证书,文档签名证书就跟刚才提到的软件代码签名证书有些相似之处,功能是为了证明文档从其公司发布出来之后,一是它的身份是实名认证的,二是这份文档从发行之后,是没有被第三方篡改的。当然,数字证书除了刚才提到的几种常用的应用之外,其实还有更多的应用,但是我们在这个地方,就不一一来罗列了
5.个人建站需要使用SSL证书吗?如果需要,什么类型的SSL证书更适合个人网站?
是的,个人建站也需要使用SSL证书。因为包含Google在内的浏览器厂商已经开始把非HTTPS的网站标记为不安全,所以正常来说,无论你的网站是个人或是企业,首先,它应该是一个安全网站,如果你的网站要把它列为安全的话,SSL证书则就是刚性的需求,另外,如果你的个人网站里面有可能涉及到跟用户做交互的,不管是登陆的、或者说去传达一些有价值的内容,这种情况,你的安全和隐私,也是个人网站运维所需要去考虑到的,第三,如果你的个人网站希望从百度和谷歌的搜索引擎中的排名权重更高,更容易被这些搜索引擎搜索到的话,那么SSL证书就是一个刚性需求,综合以上几点,可以肯定的是,不管你是个人网站还是企业网站, SSL证书它都是必需的。
从SSL证书的角度来讲,它分三个类型,一是域名型,即DV SSL证书;二是企业型,即OV SSL证书;最后一个对安全要求更高,为增强型SSL证书,即EV SSL证书。但后两种OV SSL和EV SSL是需要企业身份认证的,对我们个人建站来讲,就不具备企业的身份认证,所以从证书的分类来看,个人建站,DV SSL也就是我们称为的域名型SSL证书,会更适合个人建站。
6.未来亚洲诚信针对中国市场有什么市场开发计划吗?
首先,我们前两年主要是致力于HTTPS加密所用的SSL证书的发展,而且我们也联合了国内的20多家云计算、CDN服务商,跟他们打造了一个联盟,共同来把“加密无处不在解决方案”推广到所有的个人和企业网站中去,现在这一部分场景已经覆盖到越来越多的用户了,另外我们基础型的SSL证书也是通过各大平台免费来进行分发的,主要的目的也是为了去推动整个互联网的安全,而不希望成本费用会成为网站安全的拦路虎,我们希望网站安全它是必需的,不应该被成本费用等诸多因素所绑架。
未来市场计划从两个方面来着手,第一个方面:我们现在已经关注到国内的电子邮件安全,现在我们看到的网易企业邮箱和腾讯企业邮箱,这两家邮箱服务商,是国内比较大型的邮箱服务商,但目前我们看到电子邮箱方面的安全问题仍然没有一个非常好的解决方案,还是采用最原始的对称加密方式来进行邮件的安全保护,但这种方式一是不便利,二是对于用户来讲,有一定的学习成本,所以我们已经跟这两家服务商有了前期的接触,接下来会在中国市场推出一个安全邮箱的解决方案;
第二个方面:我们也联合了国内的一些硬件服务厂商,包含了传统的硬件设备服务商以及物联网的服务商,我们已经有给他们做出来了一些基于IoT;PKI的解决方案,所以在接下来的市场计划当中,我们会进军到IoT;PKI解决方案,这个也会列为我们亚洲诚信作为一个主要的市场方向。
