360浏览器根证书计划
360是中国互联网安全公司,360团队一直致力于互联网的安全发展。
在过去的几年里,互联网环境日趋复杂。随着互联网网络基础设施和网络的在快速发展,证书管理的问题越来越困扰公钥基础设施(PKI),数字证书安全问题越来越受到国内外用户的关注。Web浏览器面临着艰巨情况,用户只专注于页面的内容,但是对在幕后发生的事情不甚了解。
每天各个CA机构新增和吊销的证书已呈现一定的数量级,证书滥发、错发、无意信任等情况时有发生,证书可信性,真实性无法及时有效的校验。为了解决这些问题,CA机构已经实现了一些更好的管理方法,但有时候很难依赖它们,这意味着证书管理方面还存在一些未解决的安全问题。为了增强我们对那些证书问题的应对能力,可以通过提高问题处理的效率、缩短风险周期,有效识别出网站证书是由具体CA机构签发的真实性,进一步帮助用户识别可信安全证书,360决定创建自己的根证书计划。
360浏览器通常信任底层操作系统信任的根证书,但现在也会配置自己的根信任库。360有权移除任何证书。
360浏览器根证书计划主要适用于360浏览器。
浏览器相关问题:kefu@360.cn
CA厂商申请入根:caprogram@360.cn
360浏览器根证书认证策略
1.2版本
- 介绍
- 认证机构(CAs)
- 申请加入360根证书库的CA机构根证书,从提交申请开始计算,根证书的有效期至少超过8年。
- 从根证书提交之日起,不超过25年有效期。
- 确保签发的所有子CA、用户证书都符合CA/Browser Forum Baseline Requirements的相关规定,并且/或者EV准则。
- 根证书的下属子CA不再签发1024位的服务器证书和SHA1算法。
- 子CA必须有CA/Browser Forum Baseline Requirements所定义的扩展密钥用法
- 根据CA/Browser Forum Baseline Requirements来吊销证书,CA必须24x7维持储存库在线,以便应用软件能够自动查询CA颁发的所有未过期证书的当前状态。
- 遵守CA /浏览器论坛网络安全指南或类似文件的要求,以确保网络和操作安全。
- 加强多因素验证,对有可能导致证书发布或执行相似技术控制的CA账户采取多因素验证。
- 遵守与CAA相关的RFC 6844,并说明如何管理。
- 包含有效的OCSP URL、AIA URL和CRL URL,以及由CA/Browser Forum Baseline Requirements所定义的适用OIDs。
- 验证直到当前的所有证书信息,确保证书都在正确的有限期范围内,即最多825天。
- 文件
- CA必须有自己的CP/CPS,并保证7x24小时在线公开机制,可随时浏览。
- 确保CP/CPS符合CA/Browser Forum Baseline Requirements的最新要求。
- CA机构必须每年向360提供所有根证书的审计报告,CA机构必须采取CA/Browser Baseline requirements或者扩展验证准则规定方案中的一种进行审计。
- CA审计报告中,必须包括对所有子CA,交叉根进行审计的部分,指明整个层级结构。 指定官方联系人,并将其详细信息提供给360。
- 当CA的证书或CA的运营所属权发生改变时,至少要提前30天通知360。
- CA发生如根证书私钥泄露、基础设施故障、签发错误的用户证书等严重事件时,CA应不晚于24小时通知360,并向360提供完整的事件报告。
- 确保CP/CPS 明确规定了流程,CA是根据CA/Browser Forum Baseline Requirements的3.2.2小节来验证最终用户证书中包含的所有信息。
下面是360浏览器根证书认证的策略,该策略是为使用web服务器由CA发布的终端用户证书用于SSL / TLS认证。
360官方负责人将维护这一策略并评估来自CA的新请求,360有权随时修改该策略。
360将决定哪些CA证书可以加入根证书计划,独立加入系统根信任库,因此,360也有权决定在根证书计划中移除某个CA证书。
CA根证书申请加入360浏览器根证书计划,360不会收取任何费用。
这一部分主要是指技术实现
所有CA机构必须:
所有的终端用户证书必须:
这一部分是指,每一个CA都应持有和维护CPS(认证操作规范)和CP(证书策略)。它还指出了当出现问题时该如何做出反应。
所有CA机构必须:
360浏览器根证书认证流程
360浏览器根证书认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。
为完成根证书预置,CA机构必须遵守360浏览器根证书认证策略的规定,并提供所有需要的材料,360浏览器根认证项目负责人将会对这些材料进行审核。
一. CA申请
- 申请加入的组织必须是一个合法的证书颁发机构(CA)。
- 根证书预置申请必须以公司名义提出,CA机构的官方代表必须参与到根证书预置的申请工作中,且有能力与360项目负责人沟通处理任何问题。
- CA代表将会向360发送一封邮件,内含所有必要的申请信息,以提交正式请求。
- CA必须填写根证书预置申请表,包括CA机构的基本信息、根证书的技术参数、根证书的层级信息、策略几个部分内容。
- CA确保提交的所有文件、审计报告,符合 CA/Browser Forum Baseline Requirements的规定。
二. 信息验证
- 360将指定官方负责人处理CA信息审核。如果有需要,360会要求提供额外的信息。这个过程一般在一个月内完成,具体持续时间取决于CA提供的信息的完整性和CA对问题的反应时间。
- 检查CA提供的根证书文件是否符合CA/BR要求,相关的CRL、AIA、OCSP服务是否正常运行。
- 检查CP/CPS内容是否符合BR对CA机构的要求,确保CP/CPS跟进BR的最新版本,定期进行更新,并保证CP/CPS能随时在线浏览。
- 检查CA提供的审计报告是否满足360根认证策略中对于审计的要求。
- 如果CA签发EV SSL证书,360将检查CA各项操作是否符合 CA/Browser Forum's EV guidelines。
- 在这一阶段,对于CA提交的材料有不清楚或有疑问的地方,360可能会要求提供额外的信息或做进一步澄清。
三. 批准请求
- 若CA机构的业务操作、管理等情况得到360的普遍认可,360将把CA根预置请求进入批准阶段。
- 对于CA机构的根预置请求,360浏览器根证书计划项目负责人具有最终决定权。
- 若请求未批准,360将会列出所有需要整改的条目,供CA机构做出必要的改变。
- 若请求批准后,360将确认CA预置请求已批准,并可进入下一阶段。
四. 预置测试
- 整个测试过程一般在二个月内完,具体测试时间取决于测试中遇到的问题能否及时解决。
- CA机构测试完成后,确认CA预置测试已完成,等待360浏览器根信任库正式信任。
五. 正式信任
- 在预置测试完成后,360将正式信任CA机构请求预置的证书,随360浏览器正式版本发布。
360信任的根证书列表
机构 | 根证书 | 有效期 | 详情 |
-
为什么浏览器中会出现不安全警示?当某个网站采用的是不安全的HTTP协议时,地址栏会出现一个灰色锁图标;当某个网站采用的是不安全的HTTP协议,同时页面中需要您填写账号、密码等敏感信息时,360浏览器会做进一步警示,出现一个黄色提示条,这是为了提醒您,如果您输入这些信息,尤其是当您处于公共WiFi环境时,则它们可能被攻击者窃取。
-
当遇到这种情况,您可以怎么做?当您常使用的网站出现上述提示时,为防止造成不必要的财产损失和信息流失,您可以尝试在地址栏中的网址之前输入“https://”——有些网站提供更安全的https页面,但需要您如此操作来进行重定向(对于不支持https协议的网站来说,此操作是无效的)。您也可以尝试联系网站管理员,要求他们提供安全的连接。当然您也可以选择在连接不安全的情况下,继续使用这个网站,甚至输入账号密码等信息,但其中的风险请您知悉;当您选择这样操作时,请尽量避免使用公共网络环境。另外,您需要掌握一些更安全的上网小技巧,比如为这个HTTP网站设置一个与其他重要网站不同的密码,以保护您在其他网站的信息安全。当出现上述黄色提示条但是您选择信任该网站时,您可以点击“我知道了”关闭它;也可以点击“不再提示”忽略此类提示,但是我们强烈建议您不要这样做,因为它可以在您处于不安全的网络连接时,给予您及时的提醒。
-
浏览器地址栏图标有什么含义?:您与网站的连接是安全的且其证书在360根证书计划内;:您与网站的连接是安全的但其证书不在360根证书计划内;:您所在的网页采用了HTTPS协议,但网页中包含不安全的资源,比如页面中含有链接采用HTTP协议的图片;:您与网站的连接是不安全,请谨慎在该网站中输入个人信息。
-
HTTPS协议是什么?Web浏览器和网站服务器之间传递信息时,如果采用HTTP协议(超文本传输协议),内容会以明文方式传送,没有任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息。因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷,需要使用另一种协议:HTTPS协议(安全套接字层超文本传输协议),为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
-
为什么会出现证书错误?证书有问题或网站对证书的使用有问题时出现。360浏览器只是在接收到证书存在的问题后,向您提示有关证书错误的警告,可帮助您确保信息更安全。
-
我可以访问具有证书警告的网站吗?你可以通过单击证书风险拦截页面上的“忽略警告,继续访问”继续访问此网站,但不建议这么做。如果在证书风险提示页面选择了忽略警告并转到了含有错误证书的网站,360浏览器将暂时记住该证书错误的忽略,您后续访问该站点不会再出现该证书的阻止页面(清理缓存等操作会忘记该忽略)。但地址栏“安全状态”栏中将继续显示“证书风提示,地址栏提示并不影响访问和使用该站点。
-
访问经常访问的网站时出错,我该做什么?
- 排查是否由于网址录入错误导致的证书风险提示。
- 检查操作系统日期和时间是否正确。
- 检查网站证书是否过期或被撤销。
错误的操作系统时间,可能不在证书有效时间内,导致证书过期或无效,从而出现证书风险提示。
如果网站所使用证书过期或被撤销,则需要网站站长或管理员联系证书颁发机构续订证书才能继续使用该网站。这是网站相关的问题,在浏览器中无法解决。如果您在以前成功访问过的网站上遇到错误,请联系该网站或网络管理员以报告此问题。
-
常见的证书错误?证书过期:访问的网站使用的安全证书已过期或还未生效。点击查看证书过期示例证书过期原因:
- 系统日期及时间错误:多个站点访问出现证书错误时,可能是由于系统日期错误导致,调整为正确系统日期及时间后可以解决。
- 证书签发有效期结束:需要站长或站点工作人员联系证书颁发机构续订证书才能继续使用该网站。这是网站相关的问题,在浏览器中无法解决。如果您在以前成功访问过的网站上遇到错误,请联系该网站或网络管理员以报告此问题。
错误主机:访问的网站使用的安全证书是为其他网站地址颁发的。假设证书是颁发给a.com,你访问的b.com使用了原本颁发给a.com的证书,即会出现该问题。点击查看错误主机示例错误主机出现的原因:- 站点配置证书出错
- 站点非法使用了其他网站的证书
自签名/不受信任:访问的网站使用的安全证书不是由受信任的证书颁发机构颁发的。点击查看不受信任的证书示例证书被撤销:访问的网站使用的安全证书已被证书颁发机构吊销。点击查看被撤销证书示例证书被颁发机构已经吊销,一般是由于证书颁发机构发现某人获取证书所提供的身份信息是假的,则该证书将被吊销。证书被吊销后,会将其移到“不信任 的证书”文件夹并且无法再使用。弱签名:网站使用的证书采用了弱签名算法,目前常见的弱签名算法为SHA-1。点击查看SHA-1证书示例这种情况下网站使用的安全证书有可能被破解伪造,导致访问使用SHA-1证书网站的用户可能正在与攻击者连接。目前证书颁发机构已停止签发SHA1-1证书、微软及谷歌等浏览器均以停止支持SHA-1证书。可点击查看或搜索相关SHA-1证书新闻: -
站长如何获取SSL证书?如果经排查确定,网站是由于证书过期、证书被撤销、证书不受信任等原因造成证书错误,网站管理者可通过证书颁发机构(CA)重新申请SSL证书,替换部署到网站服务器上,解决证书错误问题。
沃通CA提供全球可信的SSL证书,支持360、谷歌、火狐、Safari等各类浏览器和iOS、安卓等移动终端,支持Java和老设备,具备广泛兼容性;支持高强度双向传输加密、认证服务器真实身份,防止数据泄露、数据篡改、流量劫持和钓鱼网站;支持SM2和RSA双证书应用,支持SM2算法和RSA算法自适应SSL加密。
华测CA提供的SSL证书,支持SM2国产密码算法及国密套件来实现加密传输,支持SM2和RSA双证书模式,实现高强度双向加密传输,防止传输数据被泄露或者篡改,对网站服务器进行真实身份认证。现在它被广泛用于网上安全敏感的通讯。
浙江CA提供的SSL证书,支持网站高强度双向加密传输,防止传输数据被泄露或者篡改,对网站服务器进行真实身份认证;采用SM2和RSA双证书模式,根据用户采用的不同浏览器自适应选择加密套件和加密证书。
网站管理者还可通过 免费检测工具 检测SSL证书部署安全性,防止证书错误。