响铃：360浏览器首创自有根证书，不赚钱为哪般？

文|曾响铃

来源|科技向令说（xiangling0815）

很多人以为安全软件与病毒的仗已经打完，事实上，远非如此。

近年来，国内外各大网站频遭攻击。去年5月份，国务院app中的H5网页疑似被劫持，页面上出现挂弹窗广告；今年八月份，浙江绍兴警方侦破了“史上最大规模数据窃取案”，其起因是没有全站部署HTTPS加密，从而被黑客钻了空子，导致全国96家互联网公司，约30亿条用户数据被非法窃取；而不久前，Google又因为一个BUG，使得约5200万用户的个人私人数据被泄露。

有别于以往熊猫烧香这种病毒明目张胆的广泛传播方式，上述勒索病毒的攻击行为变得更为隐蔽。很多时候，他们会锁定更高价值的目标，通过http或dns网络劫持进行中间人攻击，甚至在攻击完关键系统、偷取数据之后，还能全身而退不被发现。

显然，以个人隐私数据泄露等事件为代表的网络安全，仍然面临严峻的挑战。不久前， 在2018 网络空间可信峰会上，360浏览器遂公开宣称将创建自有根证书计划，这引起业界广泛的关注。

但自建根证书是一件庞大且系统的工作，且这一行为本身是没有太多的商业价值，因而其更需要诸如360浏览器等老牌互联网科技企业，拥有更强的社会担当。

一、不被重视的根证书，成黑客入侵的重要通道

以前，人们对CA公司产生了过度信任，认为带有https的网站就是可信的。因为其身份校验体系是基于PKI体系，而在这体系中，CA往往一开始就被假定是可信的。然而，CA也是一个商业化机构，在不受监管的条件下，CA公司管理上出现问题也往往造成证书滥发，从而使得证书信用链背上信用债。

早在2013年，斯诺登泄漏的文件曾指出，美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量，这使得CA的权威性开始遭受质疑。

直到2017年，以Ryan Sleevi为首的Google Chrome调查小组，发现赛门铁克收购Verisign后的证书部门，错误签发3万张https证书。赛门铁克证书门使得浏览器厂商对CA机构的不信任达到了顶峰，当时国际五大浏览器同时发布不信任计划。最后，全球市场份额第二的赛门铁克证书部门整体出售给Digicert，而全球30%的网站需要更换CA供应商。

CA机构的不靠谱行为，使得人们依靠CA证书辨别网站安全性，也成为了泡影。更何况当前的互联网，不再只是满足人们查询信息、浏览新闻网站门户的需要，还提供了社交、电商等与财务、个人隐私高度相关的服务，那么，打开的网页一旦被黑客入侵，其对用户的危害性也将加倍放大。

然而，和这种安全威胁紧迫性截然相反，国内很多网站对根证书大多不太重视。总体来看，主要呈现以下几大问题：

第一，网站使用者不重视“http”与“https”的区别。相较而言，https多是通过CA认证的网站，安全性较“http”根的要高些。2015年开始，国内大型互联网公司开发的网站都陆续迁移到强制https进行访问。但是，仍然有很多行业的网站并没有使用“https”，譬如酒旅航空领域的艺龙、穷游、中国航空公司等企业网站，并且很多浏览器对这些网站也并没有限制性、或提示性的标记。

第二，浏览器本身也存在着技术及更新升级问题。除了显性层面的网页本身存在的安全性，比如像浏览器内核过时，不及时更新，那么可能存在的高危漏洞就比较多。这一方面，以往360浏览器表现相对较好，拥有15层的安全防御体系，并且360安全卫士也会按月修补高危漏洞。但是，行业内多数厂商仍不太重视。

并且，在底层加密算法套件这一块，也很考验浏览器厂商的安全防护能力。比如很多https网站采用了全站加密，但是由于浏览器底层加密算法不过关，被黑客钻空子的现象也比比皆是。

二、自建根证书信用系统，国内浏览器还有几场硬仗要打

在赛门铁克证书门后，浏览器行业巨头Google开始着手自有CA根证书体系搭建。除中国外，Google在全球其他国家和地区相对来说还是处于垄断地位，做这事的阻力比之中国的浏览器厂商要小得多。那么，国内浏览器要创建自有根证书，重新构建证书信用链，还面临着哪些挑战呢？在响铃看来，有这么几点：

第一，对不安全的“http”网站，进行普遍性市场教育，有一定挑战。Web浏览器对用户来讲，大多还停留在“只是使用”的阶段。多数用户只会关注页面的内容，很少会去挖掘幕后的事情。在没被病毒攻击前，“http”网站和“https”网站并没有太大的区别。只有在安全威胁降临的时候，用户才会引起重视。因此，要将“http网站是不安全的”这样一个信息，进行普遍性教育，可能会存在着一定难度。360浏览器在着手自有根证书创建时，考虑到这样的一个大环境，则是通过对用户端进行警示的措施，来倒逼“http”网站使用者引起重视。

第二，技术上，需要浏览器厂商有过硬的病毒过滤技术、AI算法以及足够多的根证书大数据。百度、360、搜狗等浏览器都各有特色，或在内容进行发力，或在安全、AI等技术层面进行发力。但是就网络安全环境的建设，防护依然是当前摆在首要位置的措施，过硬的病毒过滤技术，仍是网络安全的第一道防护线。当然，其中加密算法是影响防护能力的重要因素，360本就以安全软件起家，目前拥有“支持国密算法，支持国密双向证书校验”的优势，而且11年的积累，也有着足够多的根证书大数据。

在CA证书信任危机之下，以安全防护起家的360浏览器自建根证书系统，也是情理之中。一方面，通过操作系统信任的根证书积累数据，另一方面也积极自建根证书信任数据库。但360浏览器的规则显得较为强势，即如果360浏览器认为某根证书有威胁，即便是系统默认信任的，360也会对其移除。因而，其具有一套自己的安全判断逻辑，对自建的根证书信任库赋予了更大的权重。

第三，根证书认证过程中，CA的配合度很关键。互联网要有强大的议价权，则其必须具备一定规模的用户群。拥有近4亿用户的360浏览器，还是具备一定的实力，因而CA有配合的理由。其认证过程，包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。策略上，360浏览器先是号召CA主动参与，借助技术实现聚集CA机构以及完成初步审核工作，而具体材料的审核则采用人工审核的方式，以更为审慎严谨的态度，来增强360根证书体系的信任度。

显然，360浏览器在做纯公益性的安全体系建设，是真正愿意花大人力、物力来解决这件事情，决心也可见一斑。

三、没有商业价值也要不遗余力去做，360浏览器到底图啥？

近来，社会价值投资联盟以沪深300成分股为对象，从社会、经济和环境综合效益为评估模型，评选出了“义利99”榜单，中国建筑、万科、京东方等企业都囊括其中。他们认为，只有满足了社会的需求，才能真正创造价值，而收益、收获也是自然的结果。

社投盟的这一行径，某种程度上也说明了在当今的企业家价值体系里，对于企业所创造的价值评判，或又多了义的维度。企业家们在掌舵前行方向的同时，可能会更关注自己的企业能从哪些角度切入，怎样赋能用户或合作伙伴。这或许是360浏览器明知创建自有根证书体系，没什么商业价值，但是仍乐此不疲的原因所在。响铃认为，360浏览器做这件事，至少能带来三大正面反馈。

1、可以为行业净化网络环境，提供一个新方向。在互联网成为各行各业标配的同时，互联网企业也随之壮大，但是网络环境依然存在着诸多威胁。比如黑客可以通过利用浏览器和flash的0 day漏洞，加载含有越权漏洞的代码控制计算机系统；可以通过网页脚本，访问恶意网页的计算机进行挖矿。利用杀毒软件阻击黑客攻击是一方面，但如果换个角度，如360浏览器和谷歌所进行的根证书信任库建设的浩瀚工程，从病毒通道层面进行阻击，也不失为一个好方向。

2、可以更深层次引导行业发展方向，创建更“干净”的盈利模式。从Google、百度等浏览器巨头的盈利模式来看，广告收入依然占据大头。像Google模式中，更是将精准触达率作为广告收费的标准，这是站在用户角度思考问题，因而更看重用户的体验感。这也是中国浏览器发展的方向，因此，360浏览器重塑根证书认证信任链，亦是在为用户创建一个信任、安全的社区生态，从而增强用户对内容的信任度。最高级的广告应该是润物细无声，未来，广告的部分理应让渡给内容及用户体验，并且精准触达，AI及算法为这种盈利模式更为精细化提供了可能。这样一来，相较于以前，广告渗透转化的效率也会因干净的环境而变得轻松一些。

3、用户有了更信任、更安全的上网环境后，又能反哺浏览器。当前，业内主要浏览器都将重心锁定在内容和分发上，实际上对用户来讲，安全也是很重要的一个方面。事实上，大多用户在这一方面，本就是假定信任浏览器厂商的。因而，像百度、360浏览器等常用浏览器厂商，他们肩上的担子也就更重。

诚然，改善内容输出的精准性、丰富性以及获取信息的便捷性，确实能改善用户使用体验。但网络安全，则决定着用户使用该浏览器的频率，毕竟电脑总是被黑客攻击是一件很闹心的事情。因而，内容与安全应该是两手抓，毕竟由用户使用的安心度，所带来的“流量黏性”的指标反哺，更为难得。

从短期来看，360浏览器自建根证书体系并不赚钱。但是，长远来看，却能够赢得更多用户的信任。而且，在主动承担行业责任的时候，也使得360浏览器本身的威信能得以提升。未来，在互联网信任体系中，浏览器等工具类厂商所能创造的社会价值，将变得更加重要。

【完】