文|曾响铃
来源|科技向令说(xiangling0815)
很多人以为安全软件与病毒的仗已经打完,事实上,远非如此。
近年来,国内外各大网站频遭攻击。去年5月份,国务院app中的H5网页疑似被劫持,页面上出现挂弹窗广告;今年八月份,浙江绍兴警方侦破了“史上最大规模数据窃取案”,其起因是没有全站部署HTTPS加密,从而被黑客钻了空子,导致全国96家互联网公司,约30亿条用户数据被非法窃取;而不久前,Google又因为一个BUG,使得约5200万用户的个人私人数据被泄露。
有别于以往熊猫烧香这种病毒明目张胆的广泛传播方式,上述勒索病毒的攻击行为变得更为隐蔽。很多时候,他们会锁定更高价值的目标,通过http或dns网络劫持进行中间人攻击,甚至在攻击完关键系统、偷取数据之后,还能全身而退不被发现。
显然,以个人隐私数据泄露等事件为代表的网络安全,仍然面临严峻的挑战。不久前, 在2018网络空间可信峰会上,360浏览器遂公开宣称将创建自有根证书计划,这引起业界广泛的关注。
但自建根证书是一件庞大且系统的工作,且这一行为本身是没有太多的商业价值,因而其更需要诸如360浏览器等老牌互联网科技企业,拥有更强的社会担当。
一、不被重视的根证书,成黑客入侵的重要通道
以前,人们对CA公司产生了过度信任,认为带有https的网站就是可信的。因为其身份校验体系是基于PKI体系,而在这体系中,CA往往一开始就被假定是可信的。然而,CA也是一个商业化机构,在不受监管的条件下,CA公司管理上出现问题也往往造成证书滥发,从而使得证书信用链背上信用债。
早在2013年,斯诺登泄漏的文件曾指出,美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量,这使得CA的权威性开始遭受质疑。
直到2017年,以Ryan Sleevi为首的Google Chrome调查小组,发现赛门铁克收购Verisign后的证书部门,错误签发3万张https证书。赛门铁克证书门使得浏览器厂商对CA机构的不信任达到了顶峰,当时国际五大浏览器同时发布不信任计划。最后,全球市场份额第二的赛门铁克证书部门整体出售给Digicert,而全球30%的网站需要更换CA供应商。
CA机构的不靠谱行为,使得人们依靠CA证书辨别网站安全性,也成为了泡影。更何况当前的互联网,不再只是满足人们查询信息、浏览新闻网站门户的需要,还提供了社交、电商等与财务、个人隐私高度相关的服务,那么,打开的网页一旦被黑客入侵,其对用户的危害性也将加倍放大。
然而,和这种安全威胁紧迫性截然相反,国内很多网站对根证书大多不太重视。总体来看,主要呈现以下几大问题:
第一,网站使用者不重视“http”与“https”的区别。相较而言,https多是通过CA认证的网站,安全性较“http”根的要高些。2015年开始,国内大型互联网公司开发的网站都陆续迁移到强制https进行访问。但是,仍然有很多行业的网站并没有使用“https”,譬如酒旅航空领域的艺龙、穷游、中国航空公司等企业网站,并且很多浏览器对这些网站也并没有限制性、或提示性的标记。
第二,浏览器本身也存在着技术及更新升级问题。除了显性层面的网页本身存在的安全性,比如像浏览器内核过时,不及时更新,那么可能存在的高危漏洞就比较多。这一方面,以往360浏览器表现相对较好,拥有15层的安全防御体系,并且360安全卫士也会按月修补高危漏洞。但是,行业内多数厂商仍不太重视。
并且,在底层加密算法套件这一块,也很考验浏览器厂商的安全防护能力。比如很多https网站采用了全站加密,但是由于浏览器底层加密算法不过关,被黑客钻空子的现象也比比皆是。
二、自建根证书信用系统,国内浏览器还有几场硬仗要打
在赛门铁克证书门后,浏览器行业巨头Google开始着手自有CA根证书体系搭建。除中国外,Google在全球其他国家和地区相对来说还是处于垄断地位,做这事的阻力比之中国的浏览器厂商要小得多。那么,国内浏览器要创建自有根证书,重新构建证书信用链,还面临着哪些挑战呢?在响铃看来,有这么几点:
第一,对不安全的“http”网站,进行普遍性市场教育,有一定挑战。Web浏览器对用户来讲,大多还停留在“只是使用”的阶段。多数用户只会关注页面的内容,很少会去挖掘幕后的事情。在没被病毒攻击前,“http”网站和“https”网站并没有太大的区别。只有在安全威胁降临的时候,用户才会引起重视。因此,要将“http网站是不安全的”这样一个信息,进行普遍性教育,可能会存在着一定难度。360浏览器在着手自有根证书创建时,考虑到这样的一个大环境,则是通过对用户端进行警示的措施,来倒逼“http”网站使用者引起重视。
第二,技术上,需要浏览器厂商有过硬的病毒过滤技术、AI算法以及足够多的根证书大数据。百度、360、搜狗等浏览器都各有特色,或在内容进行发力,或在安全、AI等技术层面进行发力。但是就网络安全环境的建设,防护依然是当前摆在首要位置的措施,过硬的病毒过滤技术,仍是网络安全的第一道防护线。当然,其中加密算法是影响防护能力的重要因素,360本就以安全软件起家,目前拥有“支持国密算法,支持国密双向证书校验”的优势,而且11年的积累,也有着足够多的根证书大数据。
在CA证书信任危机之下,以安全防护起家的360浏览器自建根证书系统,也是情理之中。一方面,通过操作系统信任的根证书积累数据,另一方面也积极自建根证书信任数据库。但360浏览器的规则显得较为强势,即如果360浏览器认为某根证书有威胁,即便是系统默认信任的,360也会对其移除。因而,其具有一套自己的安全判断逻辑,对自建的根证书信任库赋予了更大的权重。
第三,根证书认证过程中,CA的配合度很关键。互联网要有强大的议价权,则其必须具备一定规模的用户群。拥有近4亿用户的360浏览器,还是具备一定的实力,因而CA有配合的理由。其认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。策略上,360浏览器先是号召CA主动参与,借助技术实现聚集CA机构以及完成初步审核工作,而具体材料的审核则采用人工审核的方式,以更为审慎严谨的态度,来增强360根证书体系的信任度。
显然,360浏览器在做纯公益性的安全体系建设,是真正愿意花大人力、物力来解决这件事情,决心也可见一斑。
三、没有商业价值也要不遗余力去做,360浏览器到底图啥?
近来,社会价值投资联盟以沪深300成分股为对象,从社会、经济和环境综合效益为评估模型,评选出了“义利99”榜单,中国建筑、万科、京东方等企业都囊括其中。他们认为,只有满足了社会的需求,才能真正创造价值,而收益、收获也是自然的结果。
社投盟的这一行径,某种程度上也说明了在当今的企业家价值体系里,对于企业所创造的价值评判,或又多了义的维度。企业家们在掌舵前行方向的同时,可能会更关注自己的企业能从哪些角度切入,怎样赋能用户或合作伙伴。这或许是360浏览器明知创建自有根证书体系,没什么商业价值,但是仍乐此不疲的原因所在。响铃认为,360浏览器做这件事,至少能带来三大正面反馈。
1、可以为行业净化网络环境,提供一个新方向。在互联网成为各行各业标配的同时,互联网企业也随之壮大,但是网络环境依然存在着诸多威胁。比如黑客可以通过利用浏览器和flash的0 day漏洞,加载含有越权漏洞的代码控制计算机系统;可以通过网页脚本,访问恶意网页的计算机进行挖矿。利用杀毒软件阻击黑客攻击是一方面,但如果换个角度,如360浏览器和谷歌所进行的根证书信任库建设的浩瀚工程,从病毒通道层面进行阻击,也不失为一个好方向。
2、可以更深层次引导行业发展方向,创建更“干净”的盈利模式。从Google、百度等浏览器巨头的盈利模式来看,广告收入依然占据大头。像Google模式中,更是将精准触达率作为广告收费的标准,这是站在用户角度思考问题,因而更看重用户的体验感。这也是中国浏览器发展的方向,因此,360浏览器重塑根证书认证信任链,亦是在为用户创建一个信任、安全的社区生态,从而增强用户对内容的信任度。最高级的广告应该是润物细无声,未来,广告的部分理应让渡给内容及用户体验,并且精准触达,AI及算法为这种盈利模式更为精细化提供了可能。这样一来,相较于以前,广告渗透转化的效率也会因干净的环境而变得轻松一些。
3、用户有了更信任、更安全的上网环境后,又能反哺浏览器。当前,业内主要浏览器都将重心锁定在内容和分发上,实际上对用户来讲,安全也是很重要的一个方面。事实上,大多用户在这一方面,本就是假定信任浏览器厂商的。因而,像百度、360浏览器等常用浏览器厂商,他们肩上的担子也就更重。
诚然,改善内容输出的精准性、丰富性以及获取信息的便捷性,确实能改善用户使用体验。但网络安全,则决定着用户使用该浏览器的频率,毕竟电脑总是被黑客攻击是一件很闹心的事情。因而,内容与安全应该是两手抓,毕竟由用户使用的安心度,所带来的“流量黏性”的指标反哺,更为难得。
从短期来看,360浏览器自建根证书体系并不赚钱。但是,长远来看,却能够赢得更多用户的信任。而且,在主动承担行业责任的时候,也使得360浏览器本身的威信能得以提升。未来,在互联网信任体系中,浏览器等工具类厂商所能创造的社会价值,将变得更加重要。
【完】
曾响铃
1钛媒体、品途商业评论等2016年度十大作者;
2虎啸奖评委;
3 AI新媒体“智能相对论”创始人;
4作家:【移动互联网+ 新常态下的商业机会】等畅销书作者;
5《商界》《商界评论》《销售与市场》等近十家杂志撰稿人;
6钛媒体、界面、虎嗅等近80家专栏作者;
7“脑艺人”(脑力手艺人)概念提出者,现演变为“自媒体”,成为一个行业。
8现为“今日头条问答签约作者”、多家科技智能公司传播顾问。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。