360浏览器推出根证书CA信任计划,诸多免费证书不被信任

360浏览器推出根证书CA信任计划,截至到2019年3月6日,免费SSL证书品牌几乎都不被360浏览器和360极速浏览器信任

360浏览器今年正式将证书安全纳入浏览器的防护体系。目前，360浏览器已将不加密的http标记为“不安全”。从2018年底开始，360浏览器将通过红色锁头，标记http网站为“不安全”网站，2019年会将所有http开头的网址标记为“不安全”，如果用户登录带密码表单的http网页，浏览器还会使用弹出式提醒。同时，360浏览器支持国密算法，支持国密双向证书校验，希望保障我国自主密码算法的应用推广和平稳过渡。

图：360浏览器通过红色锁头和弹出式提醒标记当前http网站不安全

而在CA监管方面，360浏览器的根证书计划默认信任操作系统已信任的根证书，同时也会配置自己的根信任库作为系统根信任库的补充。360浏览器为使用web服务器的终端用户证书用于SSL/TLS认证公布了认证策略，360官方负责人将维护这一策略并评估来自CA的新请求，对于不符合策略的CA机构，360有权移除任何证书，甚至包括操作系统信任的根证书。

黑客攻击手段多元化及与之对应的安全措施与加密算法的过时、未全站部署SSL证书、不受监管的CA机构，种种因素严重影响个人用户和商用用户的网络使用安全性。360将推进CA根证书在操作系统的预置与应用，协调浏览器企业统一安全传输层协议（TLS）使用细节。其成员包含第三方CA机构，浏览器厂商，操作系统开发企业以及关注根证书预置事项的机构。360浏览器已宣布加入。

网络劫持现象高发SSL证书亟需更科学的管理机制

随着黑客攻击手段的层出不穷，网络劫持现象愈演愈烈，且手段日益升级。十年前，恶意软件只会用最简单粗暴的方式修改浏览器首页用于牟利；而现在，黑客静悄悄躲在网络背后，利用更加高明的手段使人难以察觉安全威胁，例如通过http或dns网络劫持进行中间人攻击，在网站挂马或者挂弹窗广告；利用浏览器和flash的0 day漏洞，加载含有越权漏洞的代码来控制计算机系统；甚至通过网页脚本，用访问恶意网页的计算机进行挖矿等。

与此同时，目前国内仍有多数网站开发者对此重视不够，并缺乏相对应的安全措施。比如有大量网站未支持SSL证书，更有不少网站仅支持http访问，使用明文网络协议传输敏感信息。在黑客面前，用户传输的明文数据没有任何安全机制，如同裸奔，因而在传输过程中极易被劫持导致账户丢失。

此外，糟糕的加密算法和使用过时的浏览器内核也让普通网民上网时危机四伏。尽管所有安全措施都实施了，但是漏洞有可能会由底层密码算法套件引入。而使用并未及时更新内核的浏览器，也使用户在上网过程中遭遇高危漏洞的概率大为上升。

图：国内主要浏览器内核对比

然而，使用SSL证书就足够安全了吗？未必。近年来全球范围内屡次爆出赛门铁克等CA机构未经授权错误签发大量SSL证书的事件，也让传统老牌CA机构的权威性和安全性频频遭遇信任危机。

目前https的身份校验体系基于公钥基础设施（PKI）体系，在这个基础上CA机构的角色被假设为可信且安全的。然而近年来CA机构事故频发：2013年斯诺登泄漏的文件指出，美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量；2017年发生的赛门铁克证书门，Google Chrome发现赛门铁克错误签发3万张https证书，最终导致国际五大浏览器厂商对其同时发布不信任计划。如今各个CA机构新增和吊销的证书已呈现一定数量级，证书滥发、错发、无意信任等情况时有发生，证书可信性、真实性无法得到及时有效的检验。为此，CA机构已经实现了一些更好的管理方法，但有时候很难依赖它们，证书管理亟需更科学的管理机制。

在此环境下，为进一步提升用户使用安全性，360正式把证书安全纳入安全浏览器的防护。其实早先国外浏览器厂商已有类似动作。去年，Google正式宣布推出自有 CA 根证书，摆脱对由第三方签发的中级证书颁发机构的依赖。而在国内，360浏览器是第一家推出根证书计划的浏览器厂商。360自有根证书计划通过提高问题处理的效率，缩短风险周期，可以有效识别出具体CA机构签发的网站证书的真实性，帮助用户快速识别可信安全证书。同时，根证书计划的实施，还将确保360浏览器地址栏所出现的https能够代表真正安全可信的网页，进一步保证用户上网安全。

据了解，360浏览器根证书认证过程，包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。为完成根证书预置，CA机构必须遵守360浏览器根证书认证策略的规定，并提供所有需要的材料，360浏览器官方将会对这些材料进行审核。

安全大脑赋能360浏览器将更加安全、智能、可信

从2007年开始发布第一款产品至今，360浏览器已走过11个年头。伴随11年技术沉淀，360浏览器一直跟各种恶意网站和黑产进行斗争。这也是继承了360的安全基因。360集团是中国最大的互联网安全企业。目前，360汇聚了国内规模领先的顶级安全技术团队，积累了超万件原创技术和核心技术专利。进入大安全时代，面对新威胁与大挑战，360于今年5月发布了全球最大的智能安全防御体系——360安全大脑1.0版，融合大数据、云计算、人工智能、IoT、移动通信、区块链等新技术，构建了大安全时代的整体防御战略体系，应对万物互联时代带来的全新的安全威胁与挑战。梁志辉表示，在安全大脑赋能下，未来的浏览器将更安全、智能、可信。

在安全保障上，360浏览器在内核的更新上一直与国际保持同步。目前，国内主要浏览器使用内核仍然停留在一年前版本。这意味着一年前可能已经被黑客武器化的提权漏洞可以被轻易利用。360所开发的浏览器会按月修补已知高危漏洞，确保公开的漏洞在30天之内被修补，加上独有的15层安全防御体系，可通过主动防御驱动、浏览器沙箱、网址云安全等技术应对木马威胁。

在网络信息安全技术上，360浏览器在国内也是首屈一指。早在2015年，360安全浏览器在国内率先推出支持国密算法的浏览器产品；从2018年开始，360浏览器宣布全系产品都将实现国产密码算法和安全协议的支持，有效弥补了原有密码应用体系中薄弱的一环。未来用户无需下载安装专用的客户端软件，使用360浏览器即可访问各个支持国产密码算法、具备更高加密安全强度的网银、支付等应用。这也是国家自主密码算法应用推广的重大突破，对提升我国网络安全环境、加快推进国产密码算法在金融领域的应用和推广，打破国外技术控制，有效规避金融交易风险、保障国家金融体系安全等多个方面都有着深远的意义。

截至2019年3月27日，360信任的根证书列表如下(SSL盾所有证书均被信任)

rapaidssl，geotrust，thawte，symantec，digicert根证书均为digicert，comodo根证书为sectigo

不被信任的免费SSL证书品牌将会如下图显示的一样，在绿锁上面多了个灰色的感叹号！点击绿锁会看到“该网站根证书不在360根证书计划内”，使用这类证书的域名目前暂时不影响域名访问，不过以后可能会被360拦截。