日前奇虎360浏览器宣布基于用户安全考虑该浏览器将推出自有根证书计划有权将任何存在问题的证书移除,360称这是继谷歌推出自有根证书后国内首家创建自有根证书的浏览器厂商、将证书安全纳入浏览防护体系。
证书签发商监管方面360表示:
默认情况下360浏览器将信任操作系统信任的根证书,同时也会配置自己的根证书库作为系统信任库的补充,360官方将对根证书认证策略进行维护,对于不合符证书认证策略的请求该公司也有权移除任何证书签发商,360强调证书移除策略甚至包括操作系统信任的根证书,当然该浏览器不能删系统根证书而是自己拉黑证书。
360举例赛门铁克安全事故:
360称此前谷歌浏览器发现赛门铁克签发几万张错误证书,导致国际知名五大浏览器厂商同时封杀赛门铁克,360表示推出自有根证书认证计划可以更高效率的处理问题证书缩短风险周期,例如识别证书的有效性等等,具体的360根证书认证策略包括签发机构申请、信息验证、批准请求、预置测试以及正式进行信任五个部分,为完成根证书验证签发机构必须遵守360浏览器根证书认证策略的规定,提供所需材料进行完整的审核才可,不过360举例的时候倒是没有提到自家的沃通证书因为违规被封杀一年,沃通现在通过交叉验证继续卖证书。
360这个做法为哪般:
平心而论360这个做法本质上没有太大问题,比如火狐浏览器压根不信任操作系统而直接内置证书信任系统,360浏览器基于谷歌的Chromium并且主要依靠操作系统证书进行信任,也就是依赖微软对证书库进行维护,微软相比谷歌和火狐对证书拉黑这事处理比较谨慎也比较慢,从这个角度来说360自己做证书库也有合理性,只是希望360上线自己证书库后要客观公正,比如自家的沃通下次再出现问题时要第一时间出来指正和拉黑,不然到时候被其他厂商发现问题再拉黑那么360的这个证书库也毫无可信度了,具体让我们一起拭目以待吧。
