360浏览器推自有跟证书:呼吁加快证书安全改造
在日前召开的网络空间可信峰会上,360浏览器事业部总经理梁志辉宣布,基于用户安全考虑将推出自有根证书计划。
梁志辉表示,360浏览器今年正式将证书安全纳入浏览器防护体系,并启动标记不加密的传输协议视为不安全的工作。
360方面表示,推出自有根证书计划是继谷歌之后国内首家创建自有根证书的浏览器厂商,全面提升用户上网安全性。
据悉,在默认情况下360浏览器将新人操作系统信任的根证书,同时也会配置自己的根证书库作为系统信任库的补充。
但值得注意的是,360会将根证书认证策略进行维护,对于不符合证书认证测了的请求,将有权移除任何证书签发商。
360方面强调,对不符合证书认证策略的移除操作甚至包括操作系统信任的根证书,但浏览器不能删除而是自己拉黑。
360在会上拿赛门铁克安全事故做例子,称谷歌浏览器发现其签发数万张错误证书导致国际知名浏览器厂商联合封杀。
而360自有根证书计划可更高效的处理问题证书,缩短风险周期,证书签发机构必须遵守和提供材料完成完整的审核。
然而,360在会上并未提及自家沃通证书因为违规被封杀,数字证书颁发机构StartCom宣布停止并吊销根数字证书。
既然360已决定开始做自有根证书,依靠浏览器操作系统证书进行信任,加上微软在处理证书方面做的一直比较谨慎。
在这里笔者倒是希望360在做这件事儿上抱有本心,客观公正的对待证书发放机构,未来到底如何笔者也在拭目以待。