湖南科技网 湖南科技网-科技创新战略,引领时代先锋

门上加把锁, 360浏览器首推根证书计划

2019-07-12 16:12 已围观151次 来源:湖南科技网 编辑:张馨予

  [360浏览器总经理梁志辉在接受第一财经记者专访时表示,360浏览器推出根证书计划,根本目的是为了在互联网所有传输数据上加上一把锁,在保证锁安全的同时,保证锁的钥匙——密钥的存储与管理——是安全的]

  [iiMediaResearch(艾媒咨询)数据显示,在PC浏览器用户首选品牌中,360浏览器占比32.2%,之后是Chrome浏览器、QQ浏览器分别占比20.4%、13.6%。]

  近日,自谷歌宣布推出自有CA根证书后,360浏览器也创建了自有根证书计划,成为国内首家创建自有根证书的浏览器厂商。

  360浏览器总经理梁志辉在接受第一财经记者专访时表示,360浏览器推出根证书计划,根本目的是为了在互联网所有传输数据上加上一把锁,在保证锁安全的同时,保证锁的钥匙——密钥的存储与管理——是安全的。

  腾讯方面对第一财经记者表示,目前暂时没有创建根证书方面的考虑,搜狗方面则称相关负责人处于休假状态,暂未予回应。

  门上一把锁

  一般来讲,互联网行业之中,客户端信任的私钥握在CA公司手中,浏览器默认信任几大CA厂商,包括Symantec、Comodo、Godaddy、GolbalSign和Digicert等。所谓CA,即CatificateAuthority(认证授权),其作用就是提供证书(即服务器证书,由域名、公司信息、序列号和签名信息组成),加强服务端与客户端之间信息交互的安全性,以及证书运维相关服务。

  任何个人或组织都可握有互联网域名的根服务器,这种体系之下,CA公司权力很大,既可以用一把锁维护安全,也可以私自配一把私钥威胁安全。

  近年来CA机构事故频发——2013年斯诺登泄露的文件指出,美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量;2017年赛门铁克证书门,GoogleChrome发现头部CA厂商Symantec(赛门铁克)错误签发3万张https证书,致使国际五大浏览器厂商对其同时发布不信任计划。

  国内也有因为运营商网络被入侵,致使用户数据被泄露的情况发生。

  梁志辉对第一财经记者表示,数据被泄露后,用户数据很有可能被利用,甚至发生用户名与密码丢失等情况。

  当CA公司内部权力与漏洞并存,浏览器平台只有争取更多主动权,才能避免被动挨打。

  梁志辉表示,目前360浏览器已将不加密的http标记为“不安全”。从2018年底开始,360浏览器将通过红色锁头,标记http网站为“不安全”网站,2019年会将所有http开头的网址标记为“不安全”,如果用户登录带密码表单的http网页,浏览器还会使用弹出式提醒。

  当一个证书在已不被信任的场景下,用户访问该网站时,会重新转到一个证书风险页面,用户可以选择“忽略警告继续访问”,或选择“关闭”。但前者按钮会设计得小一点,给用户选择判断权,他可以选择将该网站加到白名单里。同时,360浏览器支持国密算法,支持国密双向证书校验。

  需要注意的是,此前,奇虎360旗下的数字证书颁发机构沃通与StartCom相继出现问题,前者多次被发现违规签发数字证书且存在安全审计问题,被曝光后包括谷歌、苹果以及Mozilla均停止对其信任;后者也早已正式宣布停止证书业务并吊销现有的根数字证书。这或许是360浏览器自建根证书计划、及时观察跟进变动的考虑之一。

  与国情结合

  据了解,目前包括腾讯浏览器、搜狗浏览器等厂商暂无根证书方面计划,梁志辉表示,360浏览器能够首先试水创建根证书计划,并获得头部CA公司认可的主要原因,在于其在中国市场份额的排名优势。

  梁志辉对第一财经记者表示,团队在2014年第一次参加CABrowser论坛,并接受包括Google等平台质问时,因为准备不充分,成员曾哭着跑回来。质疑主要集中在证书安全的呈现上——如证书如何实现快速吊销,在证书场景下如何实现安全性,以及用户隐私如何保证等。

  最初360浏览器公布创建根证书计划时,并不被看好,CA公司也并不关心是否会被吊销或拉黑——一方面与会的CA公司本身较少违规,另一方面,CA证书安全价值主要靠浏览器来呈现。

  “通过几次闭门会议,CA公司逐渐意识到360浏览器在中国市场内的占比较高。”梁志辉称,虽然Chrome浏览器占比高,但长期来判断,Chrome浏览器需翻墙等特性限制了份额的扩张。

  iiMediaResearch(艾媒咨询)数据显示,在PC浏览器用户首选品牌中,360浏览器占比32.2%,之后是Chrome浏览器、QQ浏览器分别占比20.4%、13.6%。

  此外,360浏览器能够吸引世界头部CA公司的一大原因,在于其能够更接地气地融合中国国情。