每日最新頭條.有趣資訊

360瀏覽器推出自有根證書計劃 籲加快證書安全技術改造

中新網12月18日電 在12月17-18日召開的2018網絡空間可信峰會上,360 PC瀏覽器事業部總經理梁志輝公布360瀏覽器將創建自有根證書計劃,全面提升用戶上網的安全性。這是距谷歌宣布推出自有CA根證書後,國內首家創建自有根證書的瀏覽器廠商。

360 PC瀏覽器事業部總經理梁志輝發表演講

梁志輝表示,360瀏覽器今年正式將證書安全納入瀏覽器的防護體系。目前,360瀏覽器已將不加密的http標記為“不安全”。從今年底開始,360瀏覽器將通過紅色鎖頭,標記http網站為“不安全”網站,2019年會將所有http開頭的網址標記為“不安全”,如果用戶登錄帶密碼表單的http網頁,瀏覽器還會使用彈出式提醒。同時,360瀏覽器支持國密算法,支持國密雙向證書校驗,希望保障我國自主密碼算法的應用推廣和平穩過渡。

360瀏覽器通過紅色鎖頭和彈出式提醒標記當前http網站不安全

而在CA監管方面,360瀏覽器的根證書計劃默認信任作業系統已信任的根證書,同時也會配置自己的根信任庫作為系統根信任庫的補充。360瀏覽器為使用web伺服器的終端用戶證書用於SSL/TLS認證公布了認證策略,360官方負責人將維護這一策略並評估來自CA的新請求,對於不符合策略的CA機構,360有權移除任何證書,甚至包括作業系統信任的根證書。

黑客攻擊手段多元化及與之對應的安全措施與加密算法的過時、未全站部署SSL證書、不受監管的CA機構,種種因素嚴重影響個人用戶和商用用戶的網絡使用安全性。雖然此次360瀏覽器宣布了根證書計劃,梁志輝認為這需要整個行業的更多重視與合作,在網絡空間可信峰會上,他呼籲網站開發者及行業給予支持及投入,共同推動CA認證的技術改造。

此外,CABO論壇(即電子認證機構-瀏覽器-作業系統論壇)於會上正式啟動。該論壇為一個非盈利討論組,將推進CA根證書在作業系統的預置與應用,協調瀏覽器企業統一安全傳輸層協定(TLS)使用細節。其成員包含第三方CA機構,瀏覽器廠商,作業系統開發企業以及關注根證書預置事項的機構。360瀏覽器已宣布加入。CABO參照國際CAB論壇(即CA瀏覽器論壇)而成立,旨在推動我國電子認證技術安全應用的發展,同時爭取國際話語權。

360 PC瀏覽器事業部總經理梁志輝(右三)出席CABO啟動儀式

網絡劫持現象高發 SSL證書亟需更科學的管理機制

隨著黑客攻擊手段的層出不窮,網絡劫持現象愈演愈烈,且手段日益更新。十年前,惡意軟體只會用最簡單粗暴的方式修改瀏覽器首頁用於牟利;而現在,黑客靜悄悄躲在網絡背後,利用更加高明的手段使人難以察覺安全威脅,例如通過http或dns網絡劫持進行中間人攻擊,在網站掛馬或者掛彈窗廣告;利用瀏覽器和flash的0 day漏洞,加載含有越權漏洞的代碼來控制電腦系統;甚至通過網頁腳本,用訪問惡意網頁的電腦進行挖礦等。

與此同時,目前國內仍有多數網站開發者對此重視不夠,並缺乏相對應的安全措施。比如有大量網站未支持SSL證書,更有不少網站僅支持http訪問,使用明文網絡協定傳輸敏感資訊。在黑客面前,用戶傳輸的明文數據沒有任何安全機制,如同裸奔,因而在傳輸過程中極易被劫持導致账戶丟失。

此外,糟糕的加密算法和使用過時的瀏覽器內核也讓普通網民上網時危機四伏。儘管所有安全措施都實施了,但是漏洞有可能會由底層密碼算法套件引入。而使用並未及時更新內核的瀏覽器,也使用戶在上網過程中遭遇高危漏洞的概率大為上升。

國內主要瀏覽器內核對比

然而,使用SSL證書就足夠安全了嗎?未必。近年來全球範圍內屢次爆出賽門鐵克等CA機構未經授權錯誤簽發大量SSL證書的事件,也讓傳統老牌CA機構的權威性和安全性頻頻遭遇信任危機。

目前https的身份校驗體系基於公鑰基礎設施(PKI)體系,在這個基礎上CA機構的角色被假設為可信且安全的。然而近年來CA機構事故頻發:2013年斯諾登泄漏的檔案指出,美國NSA利用一些CA頒發的偽造證書截取並破解大量加密https流量;2017年發生的賽門鐵克證書門,Google Chrome發現賽門鐵克錯誤簽發3萬張https證書,最終導致國際五大瀏覽器廠商對其同時發布不信任計劃。如今各個CA機構新增和吊銷的證書已呈現一定數量級,證書濫發、錯發、無意信任等情況時有發生,證書可信性、真實性無法得到及時有效的檢驗。為此,CA機構已經實現了一些更好的管理方法,但有時候很難依賴它們,證書管理亟需更科學的管理機制。

在此環境下,為進一步提升用戶使用安全性,360正式把證書安全納入安全瀏覽器的防護。其實早先國外瀏覽器廠商已有類似動作。去年,Google正式宣布推出自有 CA 根證書,擺脫對由第三方簽發的中級證書頒發機構的依賴。而在國內,360瀏覽器是第一家推出根證書計劃的瀏覽器廠商。梁志輝表示,360自有根證書計劃通過提高問題處理的效率,縮短風險周期,可以有效識別出具體CA機構簽發的網站證書的真實性,幫助用戶快速識別可信安全證書。同時,根證書計劃的實施,還將確保360瀏覽器地址欄所出現的https能夠代表真正安全可信的網頁,進一步保證用戶上網安全。

據了解,360瀏覽器根證書認證過程,包括CA申請、資訊驗證、批準請求、預置測試、正式信任五個部分。為完成根證書預置,CA機構必須遵守360瀏覽器根證書認證策略的規定,並提供所有需要的材料,360瀏覽器官方將會對這些材料進行審核。

安全大腦賦能 360瀏覽器將更加安全、智能、可信

從2007年開始發布第一款產品至今,360瀏覽器已走過11個年頭。伴隨11年技術沉澱,360瀏覽器一直跟各種惡意網站和黑產進行鬥爭。這也是繼承了360的安全基因。360集團是中國最大的互聯網安全企業。目前,360匯聚了國內規模領先的頂級安全技術團隊,積累了超萬件原創技術和核心技術專利。進入大安全時代,面對新威脅與大挑戰,360於今年5月發布了全球最大的智能安全防禦體系——360安全大腦1.0版,融合大數據、雲計算、人工智能、IoT、移動通信、區塊鏈等新技術,構建了大安全時代的整體防禦戰略體系,應對萬物互聯時代帶來的全新的安全威脅與挑戰。梁志輝表示,在安全大腦賦能下,未來的瀏覽器將更安全、智能、可信。

在安全保障上,360瀏覽器在內核的更新上一直與國際保持同步。目前,國內主要瀏覽器使用內核仍然停留在一年前版本。這意味著一年前可能已經被黑客武器化的提權漏洞可以被輕易利用。360所開發的瀏覽器會按月修補已知高危漏洞,確保公開的漏洞在30天之內被修補,加上獨有的15層安全防禦體系,可通過主動防禦驅動、瀏覽器沙箱、網址雲安全等技術應對木馬威脅。

在網絡資訊安全技術上,360瀏覽器在國內也是首屈一指。早在2015年,360安全瀏覽器在國內率先推出支持國密算法的瀏覽器產品;從2018年開始,360瀏覽器宣布全系產品都將實現國產密碼算法和安全協定的支持,有效彌補了原有密碼應用體系中薄弱的一環。未來用戶無需下載安裝專用的客戶端軟體,使用360瀏覽器即可訪問各個支持國產密碼算法、具備更高加密安全強度的網銀、支付等應用。這也是國家自主密碼算法應用推廣的重大突破,對提升我國網絡安全環境、加快推進國產密碼算法在金融領域的應用和推廣,打破國外技術控制,有效規避金融交易風險、保障國家金融體系安全等多個方面都有著深遠的意義。

獲得更多的PTT最新消息
按讚加入粉絲團