國內(nèi)首家 360瀏覽器推出自有根證書計劃

隨著黑客攻擊手段的層出不窮，網(wǎng)絡(luò)劫持現(xiàn)象愈演愈烈，且手段日益升級。與此同時，目前國內(nèi)仍有大量網(wǎng)站未全站支持SSL證書，更有不少網(wǎng)站僅支持http訪問，使用明文網(wǎng)絡(luò)協(xié)議傳輸敏感信息，如同裸奔。

近年來全球范圍內(nèi)屢次爆出賽門鐵克等CA機構(gòu)未經(jīng)授權(quán)錯誤簽發(fā)大量SSL證書的事件，也讓傳統(tǒng)老牌CA機構(gòu)的權(quán)威性和安全性頻頻遭遇信任危機。

去年，Google正式宣布推出自有CA根證書，擺脫對由第三方簽發(fā)的中級證書頒發(fā)機構(gòu)的依賴。

在12月17-18日召開的2018網(wǎng)絡(luò)空間可信峰會上，360 PC瀏覽器事業(yè)部總經(jīng)理梁志輝公布360瀏覽器將創(chuàng)建自有根證書計劃，全面提升用戶上網(wǎng)的安全性。

據(jù)了解，這是距谷歌宣布推自有CA證書后，國內(nèi)首家創(chuàng)建自有根證書的瀏覽器廠商。

梁志輝表示，360瀏覽器今年正式將證書安全納入瀏覽器的防護體系。目前，360瀏覽器已啟動標(biāo)記不加密的http不安全，在今年底開始通過紅色鎖頭標(biāo)記http不安全，2019年開始會將所有http開頭的網(wǎng)址標(biāo)記為不安全，對于帶密碼表單的登錄http網(wǎng)頁還會使用彈出式提醒不安全。

在CA監(jiān)管方面，360瀏覽器的根證書計劃默認(rèn)信任操作系統(tǒng)信任的根證書，同時也會配置自己的根信任庫作為系統(tǒng)根信任庫的補充。360瀏覽器為使用web服務(wù)器的終端用戶證書用于SSL/TLS認(rèn)證公布了認(rèn)證策略，360官方負(fù)責(zé)人將維護這一策略并評估來自CA的新請求，對于不符合策略的CA機構(gòu)，360有權(quán)移除任何證書，甚至包括操作系統(tǒng)信任的根證書。