随着黑客攻击手段层出不穷,网络劫持现象越来越严重,手段也日益升级。与此同时,国内仍有大量网站全站不支持SSL证书,不少网站只支持http访问,使用明文网络协议传输敏感信息,无异于裸奔。
近年来,赛门铁克等CA机构未经授权错误签发大量SSL证书的事件在全球范围内屡屡发生。这也导致传统CA机构的权威和安全信任危机频发。
去年,谷歌正式宣布推出自己的CA根证书,摆脱对第三方颁发的中间证书颁发机构的依赖。
在12月17-18日举行的2018网络空间可信峰会上,360 PC浏览器事业部总经理梁志辉宣布,360浏览器将打造自己的根证书计划,全面提升用户上网的安全性。
据了解,这是继谷歌宣布推出自己的CA证书后,国内首个创建自己的根证书的浏览器厂商。
梁志辉表示,360浏览器今年将正式将证书安全纳入浏览器的防护体系。目前360浏览器已经开始将未加密的http标记为不安全。今年年底,它将开始通过红锁将http标记为不安全。从2019 年开始,它将把所有以http 开头的URL 标记为不安全。对于使用密码形式登录http的网页也使用弹出提醒,表明它们不安全。
在CA监管方面,360浏览器的根证书计划默认信任操作系统信任的根证书,同时也会配置自己的根信任库作为系统根信任库的补充。 360浏览器发布了使用Web服务器终端用户证书进行SSL/TLS认证的认证策略。 360官方负责人将维护这一政策并评估CA的新请求。对于不遵守政策的CA机构,360有权删除任何证书,甚至操作系统信任的根证书。
发表评论