7月17日—18日,2019中国网络安全年会在中国广州东方宾馆顺利召开,本次会议主题为“智能感知态势,携手构建安全”,来自国内外的网络安全产业界人士及专家学者们围绕这一主题进行交流探讨。18日,在360集团主办的“网络安全应急响应论坛”上,360集团高级总经理梁志辉发表了题为《基于根证书计划,构建国家数字证书应急体系》的演讲,结合目前数字证书现状,提出要以360根证书计划为根基,与各大企业携手构建国家数字证书应急体系。
国内首推根证书计划 致力构建我国类CA/B组织
近几年,数字证书安全事件频频发生,我国网站使用有效证书的比例远低于欧美等发达国家,应用数据明文传输,恶意拦截和窃取风险极大。另外,我国涉及国计民生的网站中99%都在使用美国颁发的数字证书,国外认证机构在我国范围内提供电子认证服务未经备案,缺乏监管难以有效评估证书对抗过程中的安全风险。这些无一不提醒我们,要加强和重视数字证书应急体系建设。
梁志辉在演讲中介绍,为了能提高问题处理的效率、缩短风险周期,有效识别出网站证书是由具体CA机构签发的真实性,进一步帮助用户识别可信安全证书,此前360浏览器推出根证书计划。目前,已有13家CA的53个根证书加入360根证书计划。基于此根证书计划,梁志辉还提到,应构建一个国内类CA/B组织,以保障国家证书安全。该组织参照CA/B标准制定、CA审计机构进行审计,组织主要成员包括第三方CA机构、浏览器厂商。目前,360浏览器已正式加入CA/B组织。
提议成立国密根证书行业联盟 加强CT技术快速落实
为提升我国在制定网络安全相关国际标准中的参与权、话语权,推动我国网络空间的国际合作,梁志辉建议成立国密根证书行业联盟,联盟涉及到的机构有PC浏览器、移动浏览器、操作系统、应用系统、应用商店、CA机构。
除此之外,梁志辉还讲到启用证书透明的重要。如今,证书中最大的问题就是有伪造证书的存在,一旦出现伪造证书,PKI 安全体系将会非常脆弱,以伪冒者从某CA申请并错误颁发test.360.cn证书为例,CT技术的启用使得错误证书的发现和吊销的周期大大缩短。
此次,国家数字证书应急体系的构建,对强化我国数字证书的安全应用具有十分重要的战略意义。作为国内首家也是唯一一家创建自有根证书的浏览器厂商,360呼吁其他CA机构、浏览器厂商积极参与此次构建,共同为我国打造出良好的网络安全环境。
