文|曾響鈴

來源|科技向令說（xiangling0815）

很多人以為安全軟體與病毒的仗已經打完，事實上，遠非如此。

近年來，國內外各大網站頻遭攻擊。去年5月份，國務院app中的H5網頁疑似被劫持，頁面上出現掛彈窗廣告；今年八月份，浙江紹興警方偵破了“史上最大規模資料竊取案”，其起因是沒有全站部署HTTPS加密，從而被黑客鑽了空子，導致全國96家網際網路公司，約30億條使用者資料被非法竊取；而不久前，Google又因為一個BUG，使得約5200萬用戶的個人私人資料被洩露。

有別於以往熊貓燒香這種病毒明目張膽的廣泛傳播方式，上述勒索病毒的攻擊行為變得更為隱蔽。很多時候，他們會鎖定更高價值的目標，通過http或dns網路劫持進行中間人攻擊，甚至在攻擊完關鍵系統、偷取資料之後，還能全身而退不被發現。

顯然，以個人隱私資料洩露等事件為代表的網路安全，仍然面臨嚴峻的挑戰。不久前， 在2018網路空間可信峰會上，360瀏覽器遂公開宣稱將建立自有根證書計劃，這引起業界廣泛的關注。

但自建根證書是一件龐大且系統的工作，且這一行為本身是沒有太多的商業價值，因而其更需要諸如360瀏覽器等老牌網際網路科技企業，擁有更強的社會擔當。

一、不被重視的根證書，成黑客入侵的重要通道

以前，人們對CA公司產生了過度信任，認為帶有https的網站就是可信的。因為其身份校驗體系是基於PKI體系，而在這體系中，CA往往一開始就被假定是可信的。然而，CA也是一個商業化機構，在不受監管的條件下，CA公司管理上出現問題也往往造成證書濫發，從而使得證書信用鏈背上信用債。

早在2013年，斯諾登洩漏的檔案曾指出，美國NSA利用一些CA頒發的偽造證書擷取並破解大量加密https流量，這使得CA的權威性開始遭受質疑。

直到2017年，以Ryan Sleevi為首的Google Chrome調查小組，發現賽門鐵克收購Verisign後的證書部門，錯誤簽發3萬張https證書。賽門鐵克證書門使得瀏覽器廠商對CA機構的不信任達到了頂峰，當時國際五大瀏覽器同時釋出不信任計劃。最後，全球市場份額第二的賽門鐵克證書部門整體出售給Digicert，而全球30%的網站需要更換CA供應商。

CA機構的不靠譜行為，使得人們依靠CA證書辨別網站安全性，也成為了泡影。更何況當前的網際網路，不再只是滿足人們查詢資訊、瀏覽新聞網站門戶的需要，還提供了社交、電商等與財務、個人隱私高度相關的服務，那麼，開啟的網頁一旦被黑客入侵，其對使用者的危害性也將加倍放大。

然而，和這種安全威脅緊迫性截然相反，國內很多網站對根證書大多不太重視。總體來看，主要呈現以下幾大問題：

第一，網站使用者不重視“http”與“https”的區別。相較而言，https多是通過CA認證的網站，安全性較“http”根的要高些。2015年開始，國內大型網際網路公司開發的網站都陸續遷移到強制https進行訪問。但是，仍然有很多行業的網站並沒有使用“https”，譬如酒旅航空領域的藝龍、窮遊、中國航空公司等企業網站，並且很多瀏覽器對這些網站也並沒有限制性、或提示性的標記。

第二，瀏覽器本身也存在著技術及更新升級問題。除了顯性層面的網頁本身存在的安全性，比如像瀏覽器核心過時，不及時更新，那麼可能存在的高危漏洞就比較多。這一方面，以往360瀏覽器表現相對較好，擁有15層的安全防禦體系，並且360安全衛士也會按月修補高危漏洞。但是，行業內多數廠商仍不太重視。

並且，在底層加密演算法套件這一塊，也很考驗瀏覽器廠商的安全防護能力。比如很多https網站採用了全站加密，但是由於瀏覽器底層加密演算法不過關，被黑客鑽空子的現象也比比皆是。

二、自建根證書信用系統，國內瀏覽器還有幾場硬仗要打

在賽門鐵克證書門後，瀏覽器行業巨頭Google開始著手自有CA根證書體系搭建。除中國外，Google在全球其他國家和地區相對來說還是處於壟斷地位，做這事的阻力比之中國的瀏覽器廠商要小得多。那麼，國內瀏覽器要建立自有根證書，重新構建證書信用鏈，還面臨著哪些挑戰呢？在響鈴看來，有這麼幾點：

第一，對不安全的“http”網站，進行普遍性市場教育，有一定挑戰。Web瀏覽器對使用者來講，大多還停留在“只是使用”的階段。多數使用者只會關注頁面的內容，很少會去挖掘幕後的事情。在沒被病毒攻擊前，“http”網站和“https”網站並沒有太大的區別。只有在安全威脅降臨的時候，使用者才會引起重視。因此，要將“http網站是不安全的”這樣一個資訊，進行普遍性教育，可能會存在著一定難度。360瀏覽器在著手自有根證書建立時，考慮到這樣的一個大環境，則是通過對使用者端進行警示的措施，來倒逼“http”網站使用者引起重視。

第二，技術上，需要瀏覽器廠商有過硬的病毒過濾技術、AI演算法以及足夠多的根證書大資料。百度、360、搜狗等瀏覽器都各有特色，或在內容進行發力，或在安全、AI等技術層面進行發力。但是就網路安全環境的建設，防護依然是當前擺在首要位置的措施，過硬的病毒過濾技術，仍是網路安全的第一道防護線。當然，其中加密演算法是影響防護能力的重要因素，360本就以安全軟體起家，目前擁有“支援國密演算法，支援國密雙向證書校驗”的優勢，而且11年的積累，也有著足夠多的根證書大資料。

在CA證書信任危機之下，以安全防護起家的360瀏覽器自建根證書系統，也是情理之中。一方面，通過作業系統信任的根證書積累資料，另一方面也積極自建根證書信任資料庫。但360瀏覽器的規則顯得較為強勢，即如果360瀏覽器認為某根證書有威脅，即便是系統預設信任的，360也會對其移除。因而，其具有一套自己的安全判斷邏輯，對自建的根證書信任庫賦予了更大的權重。

第三，根證書認證過程中，CA的配合度很關鍵。網際網路要有強大的議價權，則其必須具備一定規模的使用者群。擁有近4億使用者的360瀏覽器，還是具備一定的實力，因而CA有配合的理由。其認證過程，包括CA申請、資訊驗證、批准請求、預置測試、正式信任五個部分。策略上，360瀏覽器先是號召CA主動參與，藉助技術實現聚集CA機構以及完成初步稽核工作，而具體材料的稽核則採用人工稽核的方式，以更為審慎嚴謹的態度，來增強360根證書體系的信任度。

顯然，360瀏覽器在做純公益性的安全體系建設，是真正願意花大人力、物力來解決這件事情，決心也可見一斑。

三、沒有商業價值也要不遺餘力去做，360瀏覽器到底圖啥？

近來，社會價值投資聯盟以滬深300成分股為物件，從社會、經濟和環境綜合效益為評估模型，評選出了“義利99”榜單，中國建築、萬科、京東方等企業都囊括其中。他們認為，只有滿足了社會的需求，才能真正創造價值，而收益、收穫也是自然的結果。

社投盟的這一行徑，某種程度上也說明了在當今的企業家價值體系裡，對於企業所創造的價值評判，或又多了義的維度。企業家們在掌舵前行方向的同時，可能會更關注自己的企業能從哪些角度切入，怎樣賦能使用者或合作伙伴。這或許是360瀏覽器明知建立自有根證書體系，沒什麼商業價值，但是仍樂此不疲的原因所在。響鈴認為，360瀏覽器做這件事，至少能帶來三大正面反饋。

1、可以為行業淨化網路環境，提供一個新方向。在網際網路成為各行各業標配的同時，網際網路企業也隨之壯大，但是網路環境依然存在著諸多威脅。比如黑客可以通過利用瀏覽器和flash的0 day漏洞，載入含有越權漏洞的程式碼控制計算機系統；可以通過網頁尾本，訪問惡意網頁的計算機進行挖礦。利用防毒軟體阻擊黑客攻擊是一方面，但如果換個角度，如360瀏覽器和谷歌所進行的根證書信任庫建設的浩瀚工程，從病毒通道層面進行阻擊，也不失為一個好方向。

2、可以更深層次引導行業發展方向，建立更“乾淨”的盈利模式。從Google、百度等瀏覽器巨頭的盈利模式來看，廣告收入依然佔據大頭。像Google模式中，更是將精準觸達率作為廣告收費的標準，這是站在使用者角度思考問題，因而更看重使用者的體驗感。這也是中國瀏覽器發展的方向，因此，360瀏覽器重塑根證書認證信任鏈，亦是在為使用者建立一個信任、安全的社群生態，從而增強使用者對內容的信任度。最高階的廣告應該是潤物細無聲，未來，廣告的部分理應讓渡給內容及使用者體驗，並且精準觸達，AI及演算法為這種盈利模式更為精細化提供了可能。這樣一來，相較於以前，廣告滲透轉化的效率也會因乾淨的環境而變得輕鬆一些。

3、使用者有了更信任、更安全的上網環境後，又能反哺瀏覽器。當前，業內主要瀏覽器都將重心鎖定在內容和分發上，實際上對使用者來講，安全也是很重要的一個方面。事實上，大多使用者在這一方面，本就是假定信任瀏覽器廠商的。因而，像百度、360瀏覽器等常用瀏覽器廠商，他們肩上的擔子也就更重。

誠然，改善內容輸出的精準性、豐富性以及獲取資訊的便捷性，確實能改善使用者使用體驗。但網路安全，則決定著使用者使用該瀏覽器的頻率，畢竟電腦總是被黑客攻擊是一件很鬧心的事情。因而，內容與安全應該是兩手抓，畢竟由使用者使用的安心度，所帶來的“流量黏性”的指標反哺，更為難得。

從短期來看，360瀏覽器自建根證書體系並不賺錢。但是，長遠來看，卻能夠贏得更多使用者的信任。而且，在主動承擔行業責任的時候，也使得360瀏覽器本身的威信能得以提升。未來，在網際網路信任體系中，瀏覽器等工具類廠商所能創造的社會價值，將變得更加重要。

【完】

曾響鈴

1鈦媒體、品途商業評論等2016年度十大作者；

2虎嘯獎評委；

3 AI新媒體“智慧相對論”創始人；

4作家：【移動網際網路+ 新常態下的商業機會】等暢銷書作者；

5《商界》《商界評論》《銷售與市場》等近十家雜誌撰稿人；

6鈦媒體、介面、虎嗅等近80家專欄作者；

7“腦藝人”（腦力手藝人）概念提出者，現演變為“自媒體”，成為一個行業。

8現為“今日頭條問答簽約作者”、多家科技智慧公司傳播顧問。