证书安全事件频发 360浏览器呼吁加强数字证书应急体系建设

2019-09-22 投稿人 : www.chacha360.com 围观 : 1259 次

近年来,数字证书安全事件频繁发生: 2016年10月,美国SSL认证机构和提供商GlobalSign的误操作导致淘宝,京东,天猫等网站无法访问,直接影响到中国6亿网购用户; 2017年,信息安全服务提供商赛门铁克违反规定发布了30,000份违规证书; 2018年8月,一个网站没有使用数字证书,导致全国96家互联网公司,大约30亿用户数据被非法盗用; 2018年12月,电信网络中4G交换机的数字证书失败,导致英国和日本的数千万手机用户断开网络.

面对这种情况,巨人们不能坐以待毙。 2013年,Google推出了证书透明度(CT)。此策略的目标是提供一个开放的审计和监视系统,允许任何域所有者或CA确定证书是否被错误发布或恶意使用以提高HTTPS网站的安全性。

2017年1月,谷歌宣布推出自己的CA根证书,以摆脱对第三方颁发的中间证书颁发机构的依赖。

在中国,360浏览器也与国际步伐保持同步。 2018年12月,它宣布创建自己的根证书计划,全面提高在线用户的安全性,成为中国第一家创建自己的根证书的浏览器制造商。不久前,在2019年中国网络安全年会上,360集团高级总经理梁志辉呼吁建立国家秘密证书产业联盟,加强中国数字证书应急系统的建设。

经常伪造的证书事件,中国的数字证书问题就像一场薄冰吧

数字证书也称为数字识别,是一种验证互联网身份的方法。它是一个数字信息文件,用于识别和验证双方的真实身份。它就像一张真实的身份证,可以有效保护在线传输信息。安全。

然而,这样一个重要的“身份证”在中国面临着许多问题。一方面,中国使用数字证书的网站占65%,远远不及发达国家的水平。目前,中国大多数网站都存在不同程度的安全漏洞。这些漏洞将影响网站的正常运行,并且网站服务器将受到损害。该网站的机密数据将被泄露。例如,CSDN和Tianya等大型网站由于网站存在漏洞,黑客窃取了用户数据信息。

另一方面,99%与中国国民经济和民生有关的网站使用美国发行的数字证书。外国认证机构在中国境内提供电子认证服务,无需备案,缺乏监督,难以有效评估证书对抗过程中的安全风险。

想象一下,当一场贸易战或技术战争爆发时,这些网站被撤销了该国颁发的数字证书。中国的互联网甚至物联网将进入瘫痪状态,许多系统或相关设备将无法使用。

毫无疑问,这个网络空间的“身份证”非常重要。如果没有“身份证”,它将永远无法有效保证自身的安全性,而且会由其他人领导。

为了提高问题处理的效率,缩短风险周期,有效识别特定CA组织发布的网站证书的真实性,进一步帮助用户识别可信安全证书,360引入根证书计划,默认情况下信任操作系统信任的根。证书还将其自己的根信任库配置为系统根信任库的补充。

中国有超过4亿活跃用户,市场渗透率为82%的360%浏览器坚持开放,开放和透明的原则。它吸引了许多全球主管CA公司,主动超越中国的浏览器制造商。数字证书安全性的第一步。

当然,安全不是靠自己的努力来实现的。完成第一步后,360要求其他浏览器加入根证书程序,形成统一的国内证书报告和生根标准,便于及时管理和信任根信任。发布紧急计划。同时,要聚集行业优势,加强和重视数字证书应急响应系统的建设。

网络战充满了烟雾。建立数字证书应急系统迫在眉睫

如今,网络战争充满了烟雾。网络战作为陆地,海洋,空气和外太空之后的新战争维度,模糊了大小国家,强国和弱国,甚至国家和个人之间的区别。在这场超极限战中,我们面对的对手可能是无所不包的,数字证书安全问题在这个特殊时期尤为重要。

具体来说,中国应该如何建立数字证书应急响应系统? 360提出了自己的三个建议:

首先,建立一个类似国内CA/B的组织,以确保国家证书的安全。该组织根据CA/B标准制定。在审计方面,一些国际级CA审计机构也需要审计CA的工作运营。该组织的主要成员包括第三方CA机构和浏览器供应商。

二,呼吁建立国家秘密证书产业联盟。参与该联盟的组织包括移动浏览器,应用程序系统,操作系统,PC浏览器和CA机构。 360希望联盟能够产生一些符合国家标准的技术规范,如密码强度或密钥管理方法。同时,所有软件都可以在第一时间撤销违规的CA制造商或证书。此外,联盟还将定期举行会议讨论和标准发布,以形成统一的行业标准。

第三,建立证书透明度计划,目前的证书数量超过33亿,依靠人们查明证书是否是非法发行是不现实的。根据证书透明度计划,收集国际CA机构部分证书颁发的透明日志,建立证书透明度查询服务器,使所有浏览器能够快速查询中国相应证书的透明度。这样,当用户访问网站或使用APP时,可以及时拦截违规证书。

确实,360在建立数字证书应急系统方面仍处于起步阶段。无论这是一条光明的道路还是死胡同,没有人能够准确回答,但只能依靠360来探索。成功的秘诀在于,永远不会改变既定目标比留在原地更好。

如今,网络战争越来越糟。如果你不了解网络空间,就无法理解未来的战争。如果你没有战争思维,就不能做网络对抗。网络信息安全问题日益突出,网络信息安全得到保障。从某种意义上说,这是担保人的基本保障。

可以说,360积极构建的根证书计划也为处理未来的网络安全问题奠定了基础。相信在未来,越来越多的企业将参与数字证书应急响应系统的建设。

pt电子游戏神的时代