中國網際網路需要數字證書自主可控

文|吳俊宇

電影《駭客追緝令》之中有這樣一個情節：

被譽為有史以來最厲害的電腦駭客，凱文·密尼克侵入家電信公司，入侵聯邦調查局的電腦，在網路世界中成為最難以捉摸的駭客之王，然而他卻希望能遇上一個真正的挑戰，入侵著名物理學家兼電腦天才下村勤的電腦系統。

為了突破下村勤的電腦，他採用了無數辦法，其中之一的策略就是用一個釣魚網站去實現欺詐。

事實上，這種情節在現實生活中一點都不少見。我們總是能見到有人因為釣魚網站最終被騙的事件。

2015年，一群90後小夥利用支付寶釣魚網站，通過旺旺聊天工具，給淘寶賣家群發釣魚網站連結，以所需購買產品的連結無法打開為由，竊取淘寶賣家的支付寶信息並對其實施詐騙。

短短半個月的時間，該詐騙案件涉及全國28個省，60多個地級市，涉及受害人4000餘人，總計涉案價值達100餘萬元。

每逢高考結束之後，則是由不法分子利用考生、家長的急切查分、急切了解高校信息的心態，開始「釣魚」。

「高考志願不用愁，高科技軟體來幫你」，「高考收費志願填報指導專家」為你「提供內部信息」等等的宣傳隨處可見。

不過，360正在推出根證書計劃，為中國網際網路加上「盾牌」。

一

國家層面：需要自主可控

數字證書需要自主可控，從國家維度上看就是一大需求。

今年6月，360智庫就曾發文認為，中美貿易戰背後是科技戰，同時科技戰與網絡戰疊加共振，網絡戰已經在悄然發生，成為大國博弈的重要手段。

華為被禁事件便表明，美國對我國高科技產業發展的打壓已經無所不用其極，在貿易摩擦的表象下，實質透著霸權國家對新興大國的戰略遏制。

事實上，數字證書體系、根域名解析系統（DNS）等一批都是「卡脖子」工程。

重要網站使用國外證書威脅國家安全，涉及國計民生的網站中99%都在使用美國頒發的數字證書，「惡意」吊銷證書、偽造證書等可導致網絡癱瘓或信息洩露。

對網站使用國外證書情況底數不清，國外認證機構在我國範圍內提供電子認證服務未經備案，缺乏監管難以有效評估證書對抗過程中的安全風險。

一旦未來出現圍繞數字證書的網絡空間戰，情況可能會超出想像。我們可以設想這樣幾個極端情況。

1、如果被境外吊銷已頒發證書，將直接導致我國網際網路和物聯網癱瘓，相關系統和設備無法使用；

2、如果在信息戰之中被針對軍工、政府等關鍵部門有意頒發「壞」證書，境外黑客組織可能會直接潛伏進入關鍵系統；

3、如果被非法加解密數據，數字證書機構可為國外情報機構提供偽造的數字證書，以竊取機密信息；

 4、一旦出現戰略對抗的局面，海外頒發數字證書的CA機構其實很容易被「綁票」，在脅迫之下為競爭對手提供用戶每次訪問網站的時間、地點、IP等社會運行關鍵信息，把控我國重要數據；

我們甚至可以這麼說，獨立自主可控的數字證書，就相當於一個國家網際網路的「命根」。然而至少在當下，中國網際網路的命根捏在別人手裡，在極端情況下會成為「阿喀琉斯之踵」。

二

個人層面：提高用戶安全

從個人網際網路安全層面上說，數字證書也需要得到普及。

目前大部分用戶都分不清「http」網站和「https」網站的區別，有數字證書認證的網站才是「https」。

但不法人員通過會模仿製作一些與正規企業網站，銀行網站及交易平臺網站非常類似的網站，模仿一些真實網站地址以及網站頁面，或利用正規網站程序的一些漏洞在該網站某些頁面中加入偽裝的危險代碼，通過用戶輸入來騙取用戶銀行或信用卡帳號、密碼等私人資料。

這需要數字證書的認證才能夠保證安全。這更需要數字證書頒發機構（簡稱CA）為最終用戶數據加密的公共密鑰和證書。CA機構的責任就是確保公司或用戶收到有效的身份認證是唯一證書——只有在拿到數字證書之後才能成為「https」網站。

然而，國內數字證書的發展存在很大的軟肋軟肋。

首先是普及率低。

國內數字證書普及率仍需提高，我國網站使用有效證書的比例遠低於歐美等發達國家，應用數據明文傳輸，惡意攔截和竊取風險極大。國內HTTPS訪問量比例只有65%左右，和歐美發達國家的90%相比相對偏低。

其次是國內偽造根證書情況非常普遍。

比如說，360網際網路安全中心在2017年就曾發現過一款名為「跑跑火神多功能輔助」的外掛軟體中附帶的劫持木馬。

這款軟體運行後加載木馬驅動大肆劫持導航及電商網站，利用中間人攻擊手法劫持HTTPS網站，同時還阻止殺內核級木馬的專業工具運行，破壞殺軟正常功能。直接引發用戶在在支付時被盜。

另外一個問題在於，CA機構這些年來也沒那麼靠譜。

一般來講，網際網路行業之中，客戶端信任的私鑰握在CA公司手中，但這些年來，CA機構事故頻發，任何個人或組織都可握有網際網路域名的根伺服器，這種體系之下，CA公司權力很大，既可以用一把鎖維護安全，也可以私自配一把私鑰威脅安全。

比如說，2017年出現的賽門鐵克證書門，當時Google Chrome發現頭部CA廠商Symantec（賽門鐵克）錯誤籤發3萬張https證書，包括2015 年在Google 不知情下為Google 域名頒發了有效期一天的預籤證書，Google 在2017年之後宣布從2018 年10 月23 日發布的Chrome 70 將停止信任賽門鐵克的舊證書。

Mozilla 則是宣布它的測試版本Firefox Nightly 63 將停止信任賽門鐵克籤發的證書，用戶訪問使用賽門鐵克證書的網站將會看到警告信息。Mozilla 建議網站所有者儘可能快的替換舊證書。

正式在這種情況下，360希望構建國內的類CA/B組織，保障國家證書安全。

在這樣的組織之中，首先會制定CA/B標準，比如說明確《公開信任證書頒發和管理基線要求》、《拓展驗證證書和辦法管理指南》、《網絡與證書系統安全》。同時還會聯合CA審計機構、CA機構以及各大瀏覽器廠商共同執行這些標準，相互制衡。

牽頭做根證書，不只是自家的瀏覽器，也會幫助競品一起構建安全的數字證書環境，這對國內的網絡安全環境來說會起到重要推動作用。

三

給中國網際網路加上「盾牌」 

為了建立自主可控的根證書，360未雨綢繆做了三件事情。

1、發布自有根證書計劃，設立入根認證流程及入根要求等，360瀏覽器會為使用web伺服器的終端用戶證書用於SSL/TLS認證公布了認證策略，對不符合策略的CA機構，360有權移除任何證書，甚至包括作業系統信任的根證書。

2、組建生態圈，構建類CA/B組織，目前已有13家CA的53個根證書加入360根證書計劃，這些廠商成了第一批吃螃蟹的人，網頁地址安全性也因此得到了大大提升。

3、號召建立國密根證書行業聯盟，聯合國產作業系統、瀏覽器廠商、應用商店廠商、CA機構以及以及國家密碼局參與其中。雖然這一步還沒有正式邁出僅僅只是一個比較完整的構想。

牽頭做根證書，無異於是重起爐灶，而且這件事情又苦又髒又累還不掙錢。

這就像是華為拼死拼活也要搞「備胎」，在10年前，華為就在開始了一個名為「商業可持續管理」的戰略，每一個元器件都會有兩個供應來源，甚至會自己研製。

這是為未來長期發展做打算。這也是周鴻禕會公開，建議華為將鴻蒙作業系統開源，成為中國網際網路產業共同系統的原因。

正如哈維爾一句話所說的，我們堅持一件事情，並不是因為這樣做了會有效果，而是堅信，這樣做是對的。

「自主可控」在網際網路重要技術領域再怎麼強調也不為過。

「自主」更多的是強調經濟問題，如果沒有自主智慧財產權的軟體，就必須採購別人的軟體，可能要付出高昂的代價，還要時時受制於人；

而「可控」更多的是強調安全，強調對信息和系統實施安全監控管理，防止非法利用信息和信息系統，尤其在特殊情況下，信息系統一旦失控，後果不堪設想。

可以說，360獨立自主可控根證書正在為中國網際網路加上一道「盾牌」。

----

作者 | 吳俊宇   公眾號 | 深幾度

作者系獨立撰稿人，微信號852405518

關注科技公司、網際網路現象的解讀

曾獲鈦媒體2015、2016、2018年度作者

新浪創事記2018年度十大作者

品途網2016年度十大作者

騰訊科技2015年度最具影響力自媒體