360浏览器首创自有根证书,不赚钱为哪般?

来源:A5专栏 时间:2018-12-27

很多人以为安全软件与病毒的仗已经打完,事实上,远非如此。

近年来,国内外各大网站频遭攻击。去年5月份,国务院app中的H5网页疑似被劫持,页面上出现挂弹窗广告;今年八月份,浙江绍兴警方侦破了“史上最大规模数据窃取案”,其起因是没有全站部署HTTPS加密,从而被黑客钻了空子,导致全国96家互联网公司,约30亿条用户数据被非法窃取;而不久前,Google又因为一个BUG,使得约5200万用户的个人私人数据被泄露。

有别于以往熊猫烧香这种病毒明目张胆的广泛传播方式,上述勒索病毒的攻击行为变得更为隐蔽。很多时候,他们会锁定更高价值的目标,通过http或dns网络劫持进行中间人攻击,甚至在攻击完关键系统、偷取数据之后,还能全身而退不被发现。

显然,以个人隐私数据泄露等事件为代表的网络安全,仍然面临严峻的挑战。不久前, 在2018网络空间可信峰会上,360浏览器遂公开宣称将创建自有根证书计划,这引起业界广泛的关注。

但自建根证书是一件庞大且系统的工作,且这一行为本身是没有太多的商业价值,因而其更需要诸如360浏览器等老牌互联网科技企业,拥有更强的社会担当。

一、不被重视的根证书,成黑客入侵的重要通道

以前,人们对CA公司产生了过度信任,认为带有https的网站就是可信的。因为其身份校验体系是基于PKI体系,而在这体系中,CA往往一开始就被假定是可信的。然而,CA也是一个商业化机构,在不受监管的条件下,CA公司管理上出现问题也往往造成证书滥发,从而使得证书信用链背上信用债。

早在2013年,斯诺登泄漏的文件曾指出,美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量,这使得CA的权威性开始遭受质疑。

直到2017年,以Ryan Sleevi为首的Google Chrome调查小组,发现赛门铁克收购Verisign后的证书部门,错误签发3万张https证书。赛门铁克证书门使得浏览器厂商对CA机构的不信任达到了顶峰,当时国际五大浏览器同时发布不信任计划。最后,全球市场份额第二的赛门铁克证书部门整体出售给Digicert,而全球30%的网站需要更换CA供应商。

CA机构的不靠谱行为,使得人们依靠CA证书辨别网站安全性,也成为了泡影。更何况当前的互联网,不再只是满足人们查询信息、浏览新闻网站门户的需要,还提供了社交、电商等与财务、个人隐私高度相关的服务,那么,打开的网页一旦被黑客入侵,其对用户的危害性也将加倍放大。

然而,和这种安全威胁紧迫性截然相反,国内很多网站对根证书大多不太重视。总体来看,主要呈现以下几大问题:

第一,网站使用者不重视“http”与“https”的区别。相较而言,https多是通过CA认证的网站,安全性较“http”根的要高些。2015年开始,国内大型互联网公司开发的网站都陆续迁移到强制https进行访问。但是,仍然有很多行业的网站并没有使用“https”,譬如酒旅航空领域的艺龙、穷游、中国航空公司等企业网站,并且很多浏览器对这些网站也并没有限制性、或提示性的标记。

第二,浏览器本身也存在着技术及更新升级问题。除了显性层面的网页本身存在的安全性,比如像浏览器内核过时,不及时更新,那么可能存在的高危漏洞就比较多。这一方面,以往360浏览器表现相对较好,拥有15层的安全防御体系,并且360安全卫士也会按月修补高危漏洞。但是,行业内多数厂商仍不太重视。

并且,在底层加密算法套件这一块,也很考验浏览器厂商的安全防护能力。比如很多https网站采用了全站加密,但是由于浏览器底层加密算法不过关,被黑客钻空子的现象也比比皆是。

二、自建根证书信用系统,国内浏览器还有几场硬仗要打

 

在赛门铁克证书门后,浏览器行业巨头Google开始着手自有CA根证书体系搭建。除中国外,Google在全球其他国家和地区相对来说还是处于垄断地位,做这事的阻力比之中国的浏览器厂商要小得多。那么,国内浏览器要创建自有根证书,重新构建证书信用链,还面临着哪些挑战呢?在响铃看来,有这么几点:

第一,对不安全的“http”网站,进行普遍性市场教育,有一定挑战。 Web浏览器对用户来讲,大多还停留在“只是使用”的阶段。多数用户只会关注页面的内容,很少会去挖掘幕后的事情。在没被病毒攻击前,“http”网站和“https”网站并没有太大的区别。只有在安全威胁降临的时候,用户才会引起重视。因此,要将“http网站是不安全的”这样一个信息,进行普遍性教育,可能会存在着一定难度。360浏览器在着手自有根证书创建时,考虑到这样的一个大环境,则是通过对用户端进行警示的措施,来倒逼“http”网站使用者引起重视。

第二,技术上,需要浏览器厂商有过硬的病毒过滤技术、AI算法以及足够多的根证书大数据。 百度、360、搜狗等浏览器都各有特色,或在内容进行发力,或在安全、AI等技术层面进行发力。但是就网络安全环境的建设,防护依然是当前摆在首要位置的措施,过硬的病毒过滤技术,仍是网络安全的第一道防护线。当然,其中加密算法是影响防护能力的重要因素,360本就以安全软件起家,目前拥有“支持国密算法,支持国密双向证书校验”的优势,而且11年的积累,也有着足够多的根证书大数据。

在CA证书信任危机之下,以安全防护起家的360浏览器自建根证书系统,也是情理之中。一方面,通过操作系统信任的根证书积累数据,另一方面也积极自建根证书信任数据库。但360浏览器的规则显得较为强势,即如果360浏览器认为某根证书有威胁,即便是系统默认信任的,360也会对其移除。因而,其具有一套自己的安全判断逻辑,对自建的根证书信任库赋予了更大的权重。

第三,根证书认证过程中,CA的配合度很关键。 互联网要有强大的议价权,则其必须具备一定规模的用户群。拥有近4亿用户的360浏览器,还是具备一定的实力,因而CA有配合的理由。其认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。策略上,360浏览器先是号召CA主动参与,借助技术实现聚集CA机构以及完成初步审核工作,而具体材料的审核则采用人工审核的方式,以更为审慎严谨的态度,来增强360根证书体系的信任度。

显然,360浏览器在做纯公益性的安全体系建设,是真正愿意花大人力、物力来解决这件事情,决心也可见一斑。

三、没有商业价值也要不遗余力去做,360浏览器到底图啥?

近来,社会价值投资联盟以沪深300成分股为对象,从社会、经济和环境综合效益为评估模型,评选出了“义利99”榜单,中国建筑、万科、京东方等企业都囊括其中。他们认为,只有满足了社会的需求,才能真正创造价值,而收益、收获也是自然的结果。

社投盟的这一行径,某种程度上也说明了在当今的企业家价值体系里,对于企业所创造的价值评判,或又多了义的维度。企业家们在掌舵前行方向的同时,可能会更关注自己的企业能从哪些角度切入,怎样赋能用户或合作伙伴。这或许是360浏览器明知创建自有根证书体系,没什么商业价值,但是仍乐此不疲的原因所在。响铃认为,360浏览器做这件事,至少能带来三大正面反馈。

1、可以为行业净化网络环境,提供一个新方向。 在互联网成为各行各业标配的同时,互联网企业也随之壮大,但是网络环境依然存在着诸多威胁。比如黑客可以通过利用浏览器和flash的0 day漏洞,加载含有越权漏洞的代码控制计算机系统;可以通过网页脚本,访问恶意网页的计算机进行挖矿。利用杀毒软件阻击黑客攻击是一方面,但如果换个角度,如360浏览器和谷歌所进行的根证书信任库建设的浩瀚工程,从病毒通道层面进行阻击,也不失为一个好方向。

2、可以更深层次引导行业发展方向,创建更“干净”的盈利模式。 从Google、百度等浏览器巨头的盈利模式来看,广告收入依然占据大头。像Google模式中,更是将精准触达率作为广告收费的标准,这是站在用户角度思考问题,因而更看重用户的体验感。这也是中国浏览器发展的方向,因此,360浏览器重塑根证书认证信任链,亦是在为用户创建一个信任、安全的社区生态,从而增强用户对内容的信任度。最高级的广告应该是润物细无声,未来,广告的部分理应让渡给内容及用户体验,并且精准触达,AI及算法为这种盈利模式更为精细化提供了可能。这样一来,相较于以前,广告渗透转化的效率也会因干净的环境而变得轻松一些。

3、用户有了更信任、更安全的上网环境后,又能反哺浏览器。 当前,业内主要浏览器都将重心锁定在内容和分发上,实际上对用户来讲,安全也是很重要的一个方面。事实上,大多用户在这一方面,本就是假定信任浏览器厂商的。因而,像百度、360浏览器等常用浏览器厂商,他们肩上的担子也就更重。

诚然,改善内容输出的精准性、丰富性以及获取信息的便捷性,确实能改善用户使用体验。但网络安全,则决定着用户使用该浏览器的频率,毕竟电脑总是被黑客攻击是一件很闹心的事情。因而,内容与安全应该是两手抓,毕竟由用户使用的安心度,所带来的“流量黏性”的指标反哺,更为难得。

从短期来看,360浏览器自建根证书体系并不赚钱。但是,长远来看,却能够赢得更多用户的信任。而且,在主动承担行业责任的时候,也使得360浏览器本身的威信能得以提升。未来,在互联网信任体系中,浏览器等工具类厂商所能创造的社会价值,将变得更加重要。

【完】曾响铃

相关文章

A5创业网 版权所有

返回顶部