中国互联网需要数字证书自主可控(2)

二

个人层面：提高用户安全从个人互联网安全层面上说，数字证书也需要得到普及。目前大部分用户都分不清“http”网站和“https”网站的区别，有数字证书认证的网站才是“https”。但不法人员通过会模仿制作一些与正规企业网站，银行网站及交易平台网站非常类似的网站，模仿一些真实网站地址以及网站页面，或利用正规网站程序的一些漏洞在该网站某些页面中加入伪装的危险代码，通过用户输入来骗取用户银行或信用卡账号、密码等私人资料。这需要数字证书的认证才能够保证安全。这更需要数字证书颁发机构（简称CA）为最终用户数据加密的公共密钥和证书。CA机构的责任就是确保公司或用户收到有效的身份认证是唯一证书——只有在拿到数字证书之后才能成为“https”网站。然而，国内数字证书的发展存在很大的软肋软肋。首先是普及率低。国内数字证书普及率仍需提高，我国网站使用有效证书的比例远低于欧美等发达国家，应用数据明文传输，恶意拦截和窃取风险极大。国内HTTPS访问量比例只有65%左右，和欧美发达国家的90%相比相对偏低。其次是国内伪造根证书情况非常普遍。比如说，360互联网安全中心在2017年就曾发现过一款名为“跑跑火神多功能辅助”的外挂软件中附带的劫持木马。这款软件运行后加载木马驱动大肆劫持导航及电商网站，利用中间人攻击手法劫持HTTPS网站，同时还阻止杀内核级木马的专业工具运行，破坏杀软正常功能。直接引发用户在在支付时被盗。另外一个问题在于，CA机构这些年来也没那么靠谱。一般来讲，互联网行业之中，客户端信任的私钥握在CA公司手中，但这些年来，CA机构事故频发，任何个人或组织都可握有互联网域名的根服务器，这种体系之下，CA公司权力很大，既可以用一把锁维护安全，也可以私自配一把私钥威胁安全。比如说，2017年出现的赛门铁克证书门，当时Google Chrome发现头部CA厂商Symantec（赛门铁克）错误签发3万张https证书，包括2015 年在Google 不知情下为Google 域名颁发了有效期一天的预签证书，Google 在2017年之后宣布从2018 年10 月23 日发布的Chrome 70 将停止信任赛门铁克的旧证书。Mozilla 则是宣布它的测试版本Firefox Nightly 63 将停止信任赛门铁克签发的证书，用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla 建议网站所有者尽可能快的替换旧证书。正式在这种情况下，360希望构建国内的类CA/B组织，保障国家证书安全。在这样的组织之中，首先会制定CA/B标准，比如说明确《公开信任证书颁发和管理基线要求》、《拓展验证证书和办法管理指南》、《网络与证书系统安全》。同时还会联合CA审计机构、CA机构以及各大浏览器厂商共同执行这些标准，相互制衡。牵头做根证书，不只是自家的浏览器，也会帮助竞品一起构建安全的数字证书环境，这对国内的网络安全环境来说会起到重要推动作用。