360 浏览器推出自有根证书计划 呼吁行业加快证书安全技术改造

在 12 月 17-18 日召开的 2018 网络空间可信峰会上，360 PC 浏览器事业部总经理梁志辉公布 360 浏览器将创建自有根证书计划，全面提升用户上网的安全性。这是距谷歌宣布推出自有 CA 根证书后，国内首家创建自有根证书的浏览器厂商。

梁志辉表示，360 浏览器今年正式将证书安全纳入浏览器的防护体系。目前，360 浏览器已将不加密的 http 标记为「不安全」。从今年底开始，360 浏览器将通过红色锁头，标记 http 网站为「不安全」网站，2019 年会将所有 http 开头的网址标记为「不安全」，如果用户登录带密码表单的 http 网页，浏览器还会使用弹出式提醒。同时，360 浏览器支持国密算法，支持国密双向证书校验，希望保障我国自主密码算法的应用推广和平稳过渡。

而在 CA 监管方面，360 浏览器的根证书计划默认信任操作系统已信任的根证书，同时也会配置自己的根信任库作为系统根信任库的补充。360 浏览器为使用 web 服务器的终端用户证书用于 SSL/TLS 认证公布了认证策略，360 官方负责人将维护这一策略并评估来自 CA 的新请求，对于不符合策略的 CA 机构，360 有权移除任何证书，甚至包括操作系统信任的根证书。

黑客攻击手段多元化及与之对应的安全措施与加密算法的过时、未全站部署 SSL 证书、不受监管的 CA 机构，种种因素严重影响个人用户和商用用户的网络使用安全性。虽然此次 360 浏览器宣布了根证书计划，梁志辉认为这需要整个行业的更多重视与合作，在网络空间可信峰会上，他呼吁网站开发者及行业给予支持及投入，共同推动 CA 认证的技术改造。

此外，CABO 论坛（即电子认证机构-浏览器-操作系统论坛）于会上正式启动。该论坛为一个非盈利讨论组，将推进 CA 根证书在操作系统的预置与应用，协调浏览器企业统一安全传输层协议（TLS）使用细节。其成员包含第三方 CA 机构，浏览器厂商，操作系统开发企业以及关注根证书预置事项的机构。360 浏览器已宣布加入。CABO 参照国际 CAB 论坛（即 CA 浏览器论坛）而成立，旨在推动我国电子认证技术安全应用的发展，同时争取国际话语权。

网络劫持现象高发 SSL证书亟需更科学的管理机制

随着黑客攻击手段的层出不穷，网络劫持现象愈演愈烈，且手段日益升级。十年前，恶意软件只会用最简单粗暴的方式修改浏览器首页用于牟利；而现在，黑客静悄悄躲在网络背后，利用更加高明的手段使人难以察觉安全威胁，例如通过 http 或 dns 网络劫持进行中间人攻击，在网站挂马或者挂弹窗广告；利用浏览器和 flash 的 0 day 漏洞，加载含有越权漏洞的代码来控制计算机系统；甚至通过网页脚本，用访问恶意网页的计算机进行挖矿等。

与此同时，目前国内仍有多数网站开发者对此重视不够，并缺乏相对应的安全措施。比如有大量网站未支持 SSL 证书，更有不少网站仅支持 http 访问，使用明文网络协议传输敏感信息。在黑客面前，用户传输的明文数据没有任何安全机制，如同裸奔，因而在传输过程中极易被劫持导致账户丢失。

此外，糟糕的加密算法和使用过时的浏览器内核也让普通网民上网时危机四伏。尽管所有安全措施都实施了，但是漏洞有可能会由底层密码算法套件引入。而使用并未及时更新内核的浏览器，也使用户在上网过程中遭遇高危漏洞的概率大为上升。

图：国内主要浏览器内核对比

然而，使用 SSL 证书就足够安全了吗？未必。近年来全球范围内屡次爆出赛门铁克等 CA 机构未经授权错误签发大量 SSL 证书的事件，也让传统老牌 CA 机构的权威性和安全性频频遭遇信任危机。

目前 https 的身份校验体系基于公钥基础设施（PKI）体系，在这个基础上 CA 机构的角色被假设为可信且安全的。然而近年来 CA 机构事故频发：2013 年斯诺登泄漏的文件指出，美国 NSA 利用一些 CA 颁发的伪造证书截取并破解大量加密 https 流量；2017 年发生的赛门铁克证书门，Google Chrome 发现赛门铁克错误签发 3 万张 https 证书，最终导致国际五大浏览器厂商对其同时发布不信任计划。如今各个 CA 机构新增和吊销的证书已呈现一定数量级，证书滥发、错发、无意信任等情况时有发生，证书可信性、真实性无法得到及时有效的检验。为此，CA 机构已经实现了一些更好的管理方法，但有时候很难依赖它们，证书管理亟需更科学的管理机制。

在此环境下，为进一步提升用户使用安全性，360 正式把证书安全纳入安全浏览器的防护。其实早先国外浏览器厂商已有类似动作。去年，Google 正式宣布推出自有 CA 根证书，摆脱对由第三方签发的中级证书颁发机构的依赖。而在国内，360 浏览器是第一家推出根证书计划的浏览器厂商。梁志辉表示，360 自有根证书计划通过提高问题处理的效率，缩短风险周期，可以有效识别出具体 CA 机构签发的网站证书的真实性，帮助用户快速识别可信安全证书。同时，根证书计划的实施，还将确保 360 浏览器地址栏所出现的 https 能够代表真正安全可信的网页，进一步保证用户上网安全。

据了解，360 浏览器根证书认证过程，包括 CA 申请、信息验证、批准请求、预置测试、正式信任五个部分。为完成根证书预置，CA 机构必须遵守 360 浏览器根证书认证策略的规定，并提供所有需要的材料，360 浏览器官方将会对这些材料进行审核。

安全大脑赋能360浏览器将更加安全、智能、可信

从 2007 年开始发布第一款产品至今，360 浏览器已走过 11 个年头。伴随 11 年技术沉淀，360 浏览器一直跟各种恶意网站和黑产进行斗争。这也是继承了 360 的安全基因。360 集团是中国最大的互联网安全企业。目前，360 汇聚了国内规模领先的顶级安全技术团队，积累了超万件原创技术和核心技术专利。进入大安全时代，面对新威胁与大挑战，360 于今年 5 月发布了全球最大的智能安全防御体系——360 安全大脑 1.0 版，融合大数据、云计算、人工智能、IoT、移动通信、区块链等新技术，构建了大安全时代的整体防御战略体系，应对万物互联时代带来的全新的安全威胁与挑战。梁志辉表示，在安全大脑赋能下，未来的浏览器将更安全、智能、可信。

在安全保障上，360 浏览器在内核的更新上一直与国际保持同步。目前，国内主要浏览器使用内核仍然停留在一年前版本。这意味着一年前可能已经被黑客武器化的提权漏洞可以被轻易利用。360 所开发的浏览器会按月修补已知高危漏洞，确保公开的漏洞在 30 天之内被修补，加上独有的 15 层安全防御体系，可通过主动防御驱动、浏览器沙箱、网址云安全等技术应对木马威胁。

在网络信息安全技术上，360 浏览器在国内也是首屈一指。早在 2015 年，360 安全浏览器在国内率先推出支持国密算法的浏览器产品；从 2018 年开始，360 浏览器宣布全系产品都将实现国产密码算法和安全协议的支持，有效弥补了原有密码应用体系中薄弱的一环。未来用户无需下载安装专用的客户端软件，使用 360 浏览器即可访问各个支持国产密码算法、具备更高加密安全强度的网银、支付等应用。这也是国家自主密码算法应用推广的重大突破，对提升我国网络安全环境、加快推进国产密码算法在金融领域的应用和推广，打破国外技术控制，有效规避金融交易风险、保障国家金融体系安全等多个方面都有着深远的意义。