近年来,数字证书安全事件频频发生:2016年10月,美国SSL证书管理机构及提供商GlobalSign一个误操作导致淘宝、京东、天猫等网站无法访问,直接影响我国6亿网购用户;2017年,信息安全服务厂商赛门铁克,违规颁发3万张违规证书;2018年8月,某网站未使用数字证书导致全国96家互联网公司,约30亿条用户数据被非法窃取;2018年12月,电信网络中的4G交换机数字证书失效,导致英国、日本数千万手机用户断网……
面对这种情况,巨头们也坐不住了,2013年谷歌发起了证书透明度政策(Certificate Transparency,简称CT)。这一政策的目标是提供一个开放的审计和监控系统,让任何域名所有者或者CA机构确定证书是否被错误签发,或者被恶意使用,从而提高 HTTPS 网站的安全性。
2017年1月,Google宣布推出自有CA根证书,摆脱对由第三方签发的中级证书颁发机构的依赖。
而在国内,360浏览器也紧跟国际步伐,2018年12月,宣布创建自有根证书计划,全面提升用户上网的安全性,成为国内首家创建自有根证书的浏览器厂商。不久前,在2019中国网络安全年会上,360集团高级总经理梁志辉号召成立国密根证书行业联盟,加强我国数字证书应急体系建设。
伪造证书事件频发 我国数字证书问题如履薄冰
数字证书又称数字标识,它是一种互联网中验证身份的方式,是用来标识和验证通信双方真实身份的数字信息文件,其作用类似于现实生活中的身份证,可以有效保护网上传输信息的安全。
但如此重要的“身份证”,在我国却面临多种问题。一方面我国使用数字证书的网站占65%,比起先进国家水平相差甚远。目前来看,我国大部分网站都存在不同程度的安全漏洞,这些漏洞轻则会影响网站正常运行,重则会导致网站服务器沦陷,网站机密数据遭到泄露,例如此前CSDN、天涯等大型网站就是因为网站存在漏洞导致用户数据信息被黑客盗取。
另一方面,我国涉及国计民生的网站中99%都在使用美国颁发的数字证书,国外认证机构在我国范围内提供电子认证服务未经备案,缺乏监管,难以有效评估证书对抗过程中的安全风险。
试想,爆发贸易战或科技战时,这些网站被境外吊销已经颁发的数字证书,我国互联网甚至是物联网将会进入到瘫痪的状态,很多系统或者相关设备将无法使用。
无疑,这张网络空间的“身份证”极其重要,没有“身份证”的话,永远无法为自身安全做出有效的保证,还会被他人牵着鼻子走。
为了能提高问题处理的效率、缩短风险周期,有效识别出网站证书是由具体CA机构签发的真实性,进一步帮助用户识别可信安全证书,360推出根证书计划,其默认信任操作系统信任的根证书,同时也会配置自己的根信任库作为系统根信任库的补充。
拥有国内超过4亿的活跃用户,市场渗透率达82%的360浏览器,秉持着开放、公开、透明的入根原则,吸引了诸多全球头部CA公司主动入根,走出我国浏览器厂商守护数字证书安全的第一步。
当然,安全并非凭借一己之力可以达成,在迈出第一步后,360呼吁其他浏览器加入根证书计划,形成国内统一的证书报备和入根标准,方便对信任的根及时管理并做出紧急预案。同时,更需要集结行业力量,加强和重视数字证书应急体系建设。
网络战火硝烟弥漫 建立数字证书应急体系迫在眉睫
如今,网络战火硝烟弥漫,网络战作为继陆、 海、 空、 及外层空间之后新出现的战争维度,模糊了大国与小国、 强国与弱国、 乃至国家与个人的区分。在这场超限战中,我们面临的对手或许无所不用其极,数字证书安全问题在此特殊时期显得尤为重要。
具体来说,我国应如何建立数字证书应急体系?360提出了自己的三点建议:
第一,构建国内的类CA/B组织,保障国家证书的安全,该组织参照CA/B标准制定。在审计方面,也需要一些国际级别的CA审计机构,对CA工作运营进行审计。组织主要成员包括第三方CA机构、浏览器厂商。
第二,号召建立国密根证书行业联盟,联盟涉及到的机构有移动浏览器、应用系统、操作系统、PC浏览器、CA机构。360希望该联盟能产出一些符合国家标准的技术规范,比如像密码强度,或者是密钥的管理办法。同时所有软件可以第一时间把违规的CA厂商或证书进行吊销。另外联盟还将定期进行会议讨论和标准发布,形成行业统一的标准。
第三,建立一个证书透明计划,目前证书的数量超过33亿张,靠人发现证书是否有违规颁发的产品是不现实的。基于证书透明计划,搜集国际CA机构一些证书颁发的透明日志,建立证书透明度查询服务器,让所有浏览器可以在国内快速地查询到对应证书的透明度认知。如此一来,当用户访问网站或者使用APP时,可以及时拦截违规证书。
诚然,360在建立数字证书应急体系上仍处于刚起步阶段,究竟这是条光明大道还是个死胡同,没有人能准确的回答,只能靠360自己摸索。成功的秘诀在于,永不改变既定的目标,开始总比呆在原地要好。
如今网络战愈演愈烈,看不懂网络空间,就看不懂未来战争,不具备战争思维,就搞不好网络对抗。网络信息安全问题逐渐突出,保证网络信息安全,一定意义上就是保证人的基本安全。
可以说360积极构建的根证书计划,也正是为应对未来的网络安全问题埋下伏笔。相信在今后,会有越来越多的企业参与到数字证书应急体系建设当中。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。