登录

没有账号?快速注册
合作账号登录

文章资讯 News每一个设计作品都举世无双

当前位置:主页 > 文章资讯 > 行业资讯 > 360浏览器推出自有根证书计划 呼吁行业加快技术改造

360浏览器推出自有根证书计划 呼吁行业加快技术改造

日期:2018-12-20 / 人气:85    分享到:

在12月17-18日召开的2018网络空间可信峰会上,360 PC浏览器事业部总经理梁志辉公布360浏览器将创建自有根证书计划,全面提升用户上网的安全性。这是距谷歌宣布推出自有CA根证书后,国内首家创建自有根证书的浏览器厂商。 

梁志辉表示,360浏览器今年正式将证书安全纳入浏览器的防护体系。目前,360浏览器已将不加密的http标记为“不安全”。从今年底开始,360浏览器将通过红色锁头,标记http网站为“不安全”网站,2019年会将所有http开头的网址标记为“不安全”,如果用户登录带密码表单的http网页,浏览器还会使用弹出式提醒。同时,360浏览器支持国密算法,支持国密双向证书校验,希望保障我国自主密码算法的应用推广和平稳过渡。

而在CA监管方面,360浏览器的根证书计划默认信任操作系统已信任的根证书,同时也会配置自己的根信任库作为系统根信任库的补充。360浏览器为使用web服务器的终端用户证书用于SSL/TLS认证公布了认证策略,360官方负责人将维护这一策略并评估来自CA的新请求,对于不符合策略的CA机构,360有权移除任何证书,甚至包括操作系统信任的根证书。

黑客攻击手段多元化及与之对应的安全措施与加密算法的过时、未全站部署SSL证书、不受监管的CA机构,种种因素严重影响个人用户和商用用户的网络使用安全性。虽然此次360浏览器宣布了根证书计划,梁志辉认为这需要整个行业的更多重视与合作,在网络空间可信峰会上,他呼吁网站开发者及行业给予支持及投入,共同推动CA认证的技术改造。

此外,CABO论坛于会上正式启动。该论坛为一个非盈利讨论组,将推进CA根证书在操作系统的预置与应用,协调浏览器企业统一安全传输层协议(TLS)使用细节。其成员包含第三方CA机构,浏览器厂商,操作系统开发企业以及关注根证书预置事项的机构。360浏览器已宣布加入。CABO参照国际CAB论坛而成立,旨在推动我国电子认证技术安全应用的发展,同时争取国际话语权。

然而,使用SSL证书就足够安全了吗?未必。近年来全球范围内屡次爆出赛门铁克等CA机构未经授权错误签发大量SSL证书的事件,也让传统老牌CA机构的权威性和安全性频频遭遇信任危机。

目前https的身份校验体系基于公钥基础设施(PKI)体系,在这个基础上CA机构的角色被假设为可信且安全的。然而近年来CA机构事故频发:2013年斯诺登泄漏的文件指出,美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量;2017年发生的赛门铁克证书门,Google Chrome发现赛门铁克错误签发3万张https证书,最终导致国际五大浏览器厂商对其同时发布不信任计划。如今各个CA机构新增和吊销的证书已呈现一定数量级,证书滥发、错发、无意信任等情况时有发生,证书可信性、真实性无法得到及时有效的检验。为此,CA机构已经实现了一些更好的管理方法,但有时候很难依赖它们,证书管理亟需更科学的管理机制。

在此环境下,为进一步提升用户使用安全性,360正式把证书安全纳入安全浏览器的防护。其实早先国外浏览器厂商已有类似动作。去年,Google正式宣布推出自有 CA 根证书,摆脱对由第三方签发的中级证书颁发机构的依赖。而在国内,360浏览器是第一家推出根证书计划的浏览器厂商。梁志辉表示,360自有根证书计划通过提高问题处理的效率,缩短风险周期,可以有效识别出具体CA机构签发的网站证书的真实性,帮助用户快速识别可信安全证书。同时,根证书计划的实施,还将确保360浏览器地址栏所出现的https能够代表真正安全可信的网页,进一步保证用户上网安全。

据了解,360浏览器根证书认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。为完成根证书预置,CA机构必须遵守360浏览器根证书认证策略的规定,并提供所有需要的材料,360浏览器官方将会对这些材料进行审核。

安全大脑赋能360浏览器将更加安全、智能、可信

从2007年开始发布第一款产品至今,360浏览器已走过11个年头。伴随11年技术沉淀,360浏览器一直跟各种恶意网站和黑产进行斗争。这也是继承了360的安全基因。360集团是中国最大的互联网安全企业。目前,360汇聚了国内规模领先的顶级安全技术团队,积累了超万件原创技术和核心技术专利。进入大安全时代,面对新威胁与大挑战,360于今年5月发布了全球最大的智能安全防御体系——360安全大脑1.0版,融合大数据、云计算、人工智能、IoT、移动通信、区块链等新技术,构建了大安全时代的整体防御战略体系,应对万物互联时代带来的全新的安全威胁与挑战。梁志辉表示,在安全大脑赋能下,未来的浏览器将更安全、智能、可信。

在安全保障上,360浏览器在内核的更新上一直与国际保持同步。目前,国内主要浏览器使用内核仍然停留在一年前版本。这意味着一年前可能已经被黑客武器化的提权漏洞可以被轻易利用。360所开发的浏览器会按月修补已知高危漏洞,确保公开的漏洞在30天之内被修补,加上独有的15层安全防御体系,可通过主动防御驱动、浏览器沙箱、网址云安全等技术应对木马威胁。

在网络信息安全技术上,360浏览器在国内也是首屈一指。早在2015年,360安全浏览器在国内率先推出支持国密算法的浏览器产品;从2018年开始,360浏览器宣布全系产品都将实现国产密码算法和安全协议的支持,有效弥补了原有密码应用体系中薄弱的一环。未来用户无需下载安装专用的客户端软件,使用360浏览器即可访问各个支持国产密码算法、具备更高加密安全强度的网银、支付等应用。这也是国家自主密码算法应用推广的重大突破,对提升我国网络安全环境、加快推进国产密码算法在金融领域的应用和推广,打破国外技术控制,有效规避金融交易风险、保障国家金融体系安全等多个方面都有着深远的意义。


编辑:墨阁网络工作室