360浏览器推出自有根证书计划吁加快证书安全技术改造
中新网12月18日电 在12月17-18日召开的2018网络空间可信峰会上,360 PC浏览器事业部总经理梁志辉公布360浏览器将创建自有根证书计划,全面提升用户上网的安全性。这是距谷歌宣布推出自有CA根证书后,国内首家创建自有根证书的浏览器厂商。
而在CA监管方面,360浏览器的根证书计划默认信任操作系统已信任的根证书,同时也会配置自己的根信任库作为系统根信任库的补充。360浏览器为使用web服务器的终端用户证书用于SSL/TLS认证公布了认证策略,360官方负责人将维护这一策略并评估来自CA的新请求,对于不符合策略的CA机构,360有权移除任何证书,甚至包括操作系统信任的根证书。
黑客攻击手段多元化及与之对应的安全措施与加密算法的过时、未全站部署SSL证书、不受监管的CA机构,种种因素严重影响个人用户和商用用户的网络使用安全性。虽然此次360浏览器宣布了根证书计划,梁志辉认为这需要整个行业的更多重视与合作,在网络空间可信峰会上,他呼吁网站开发者及行业给予支持及投入,共同推动CA认证的技术改造。
此外,CABO论坛(即电子认证机构-浏览器-操作系统论坛)于会上正式启动。该论坛为一个非盈利讨论组,将推进CA根证书在操作系统的预置与应用,协调浏览器企业统一安全传输层协议(TLS)使用细节。其成员包含第三方CA机构,浏览器厂商,操作系统开发企业以及关注根证书预置事项的机构。360浏览器已宣布加入。CABO参照国际CAB论坛(即CA浏览器论坛)而成立,旨在推动我国电子认证技术安全应用的发展,同时争取国际话语权。
网络劫持现象高发 SSL证书亟需更科学的管理机制
此外,糟糕的加密算法和使用过时的浏览器内核也让普通网民上网时危机四伏。尽管所有安全措施都实施了,但是漏洞有可能会由底层密码算法套件引入。而使用并未及时更新内核的浏览器,也使用户在上网过程中遭遇高危漏洞的概率大为上升。
然而,使用SSL证书就足够安全了吗?未必。近年来全球范围内屡次爆出赛门铁克等CA机构未经授权错误签发大量SSL证书的事件,也让传统老牌CA机构的权威性和安全性频频遭遇信任危机。
据了解,360浏览器根证书认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。为完成根证书预置,CA机构必须遵守360浏览器根证书认证策略的规定,并提供所有需要的材料,360浏览器官方将会对这些材料进行审核。
安全大脑赋能 360浏览器将更加安全、智能、可信
从2007年开始发布第一款产品至今,360浏览器已走过11个年头。伴随11年技术沉淀,360浏览器一直跟各种恶意网站和黑产进行斗争。这也是继承了360的安全基因。360集团是中国最大的互联网安全企业。目前,360汇聚了国内规模领先的顶级安全技术团队,积累了超万件原创技术和核心技术专利。进入大安全时代,面对新威胁与大挑战,360于今年5月发布了全球最大的智能安全防御体系——360安全大脑1.0版,融合大数据、云计算、人工智能、IoT、移动通信、区块链等新技术,构建了大安全时代的整体防御战略体系,应对万物互联时代带来的全新的安全威胁与挑战。梁志辉表示,在安全大脑赋能下,未来的浏览器将更安全、智能、可信。
在安全保障上,360浏览器在内核的更新上一直与国际保持同步。目前,国内主要浏览器使用内核仍然停留在一年前版本。这意味着一年前可能已经被黑客武器化的提权漏洞可以被轻易利用。360所开发的浏览器会按月修补已知高危漏洞,确保公开的漏洞在30天之内被修补,加上独有的15层安全防御体系,可通过主动防御驱动、浏览器沙箱、网址云安全等技术应对木马威胁。
在网络信息安全技术上,360浏览器在国内也是首屈一指。早在2015年,360安全浏览器在国内率先推出支持国密算法的浏览器产品;从2018年开始,360浏览器宣布全系产品都将实现国产密码算法和安全协议的支持,有效弥补了原有密码应用体系中薄弱的一环。未来用户无需下载安装专用的客户端软件,使用360浏览器即可访问各个支持国产密码算法、具备更高加密安全强度的网银、支付等应用。这也是国家自主密码算法应用推广的重大突破,对提升我国网络安全环境、加快推进国产密码算法在金融领域的应用和推广,打破国外技术控制,有效规避金融交易风险、保障国家金融体系安全等多个方面都有着深远的意义。
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。