例如,国内流量庞大的购买火车票网站12306.com,每次都会要求用户下载自有根证书,梁志辉称,网站自有根证书会引发两个问题——一是网络浏览器无法对其根证书实行吊销;其次,其自有根证书本质是没有CA机构去支撑证书安全体系的,但因其政府背景,360浏览器已将其进行系统预制,默认进入白名单。
国外浏览器厂商很难理解证书自签的情况,而政府又很难接受外部公司对其进行调研或评判安全性问题。这样的大背景下,360浏览器针对性进行白名单匹配,对190多个政府网站证书的IP地址加白,既满足了公共安全的要求,据千讯咨询发布的《中国网络市场前景调查分析报告》显示,也满足了中国一些特殊网络场景的需求。
360搜索引擎会24小时不间断扫描互联网海洋中以“gov.cn”结尾的网页,将证书收集起来,针对性筛选出涉政府背景的190个网站观测变动与确认,以保证其变化处于合理范围内。其次,也会增加半自动半人工的确认步骤,以确认证书是一直在使用,而不是中间被人工篡改或攻击过的。
360根证书计划会将决策过程与数据公开透明地摆在网络上,开放给用户与厂商进行验证。另在信息授权上,也并不需付费才可以使用。2016年底,Google宣布推出自有CA根证书,进而确保Google能够摆脱对由第三方签发的中级证书颁发机构的依赖。