360浏览器根证书计划

daohangba

360浏览器根证书计划
360是中国互联网安全公司，360团队一直致力于互联网的安全发展。
在过去的几年里，互联网环境日趋复杂。随着互联网网络基础设施和网络的在快速发展，证书管理的问题越来越困扰公钥基础设施（PKI），数字证书安全问题越来越受到国内外用户的关注。Web浏览器面临着艰巨情况，用户只专注于页面的内容，但是对在幕后发生的事情不甚了解。
每天各个CA机构新增和吊销的证书已呈现一定的数量级，证书滥发、错发、无意信任等情况时有发生，证书可信性，真实性无法及时有效的校验。为了解决这些问题，CA机构已经实现了一些更好的管理方法，但有时候很难依赖它们，这意味着证书管理方面还存在一些未解决的安全问题。为了增强我们对那些证书问题的应对能力，可以通过提高问题处理的效率、缩短风险周期，有效识别出网站证书是由具体CA机构签发的真实性，进一步帮助用户识别可信安全证书，360决定创建自己的根证书计划。
360浏览器通常信任底层操作系统信任的根证书，但现在也会配置自己的根信任库。360有权移除任何证书。
360浏览器根证书计划主要适用于360浏览器。
浏览器相关问题：[email protected]
CA厂商申请入根：[email protected]

360浏览器根证书计划
https://caprogram.360.cn/#plan


360浏览器根证书认证策略
1.2版本
    介绍
    下面是360浏览器根证书认证的策略，该策略是为使用web服务器由CA发布的终端用户证书用于SSL / TLS认证。
    360官方负责人将维护这一策略并评估来自CA的新请求，360有权随时修改该策略。
    360将决定哪些CA证书可以加入根证书计划，独立加入系统根信任库，因此，360也有权决定在根证书计划中移除某个CA证书。
    CA根证书申请加入360浏览器根证书计划，360不会收取任何费用。
    认证机构(CAs)
    这一部分主要是指技术实现
    所有CA机构必须：
        申请加入360根证书库的CA机构根证书，从提交申请开始计算，根证书的有效期至少超过8年。
        从根证书提交之日起，不超过25年有效期。
        确保签发的所有子CA、用户证书都符合CA/Browser Forum Baseline Requirements的相关规定，并且/或者EV准则。
        根证书的下属子CA不再签发1024位的服务器证书和SHA1算法。
        子CA必须有CA/Browser Forum Baseline Requirements所定义的扩展密钥用法
        根据CA/Browser Forum Baseline Requirements来吊销证书，CA必须24x7维持储存库在线，以便应用软件能够自动查询CA颁发的所有未过期证书的当前状态。
        遵守CA /浏览器论坛网络安全指南或类似文件的要求，以确保网络和操作安全。
        加强多因素验证，对有可能导致证书发布或执行相似技术控制的CA账户采取多因素验证。
        遵守与CAA相关的RFC 6844，并说明如何管理。
        所有的终端用户证书必须：
        包含有效的OCSP URL、AIA URL和CRL URL，以及由CA/Browser Forum Baseline Requirements所定义的适用OIDs。
        验证直到当前的所有证书信息，确保证书都在正确的有限期范围内，即最多825天。
    文件
    这一部分是指，每一个CA都应持有和维护CPS(认证操作规范)和CP(证书策略)。它还指出了当出现问题时该如何做出反应。
    所有CA机构必须：
        CA必须有自己的CP/CPS，并保证7x24小时在线公开机制，可随时浏览。
        确保CP/CPS符合CA/Browser Forum Baseline Requirements的最新要求。
        CA机构必须每年向360提供所有根证书的审计报告，CA机构必须采取CA/Browser Baseline requirements或者扩展验证准则规定方案中的一种进行审计。
        CA审计报告中，必须包括对所有子CA，交叉根进行审计的部分，指明整个层级结构。 指定官方联系人，并将其详细信息提供给360。
        当CA的证书或CA的运营所属权发生改变时，至少要提前30天通知360。
        CA发生如根证书私钥泄露、基础设施故障、签发错误的用户证书等严重事件时，CA应不晚于24小时通知360，并向360提供完整的事件报告。
        确保CP/CPS 明确规定了流程，CA是根据CA/Browser Forum Baseline Requirements的3.2.2小节来验证最终用户证书中包含的所有信息。

360浏览器根证书认证策略
https://caprogram.360.cn/#strategy


360浏览器根证书认证流程
360浏览器根证书认证过程，包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。
为完成根证书预置，CA机构必须遵守360浏览器根证书认证策略的规定，并提供所有需要的材料，360浏览器根认证项目负责人将会对这些材料进行审核。
一. CA申请
    申请加入的组织必须是一个合法的证书颁发机构（CA）。
    根证书预置申请必须以公司名义提出，CA机构的官方代表必须参与到根证书预置的申请工作中，且有能力与360项目负责人沟通处理任何问题。
    CA代表将会向360发送一封邮件，内含所有必要的申请信息，以提交正式请求。
    CA必须填写根证书预置申请表，包括CA机构的基本信息、根证书的技术参数、根证书的层级信息、策略几个部分内容。
    CA确保提交的所有文件、审计报告，符合 CA/Browser Forum Baseline Requirements的规定。

二. 信息验证
    360将指定官方负责人处理CA信息审核。如果有需要，360会要求提供额外的信息。这个过程一般在一个月内完成，具体持续时间取决于CA提供的信息的完整性和CA对问题的反应时间。
    检查CA提供的根证书文件是否符合CA/BR要求，相关的CRL、AIA、OCSP服务是否正常运行。
    检查CP/CPS内容是否符合BR对CA机构的要求，确保CP/CPS跟进BR的最新版本，定期进行更新，并保证CP/CPS能随时在线浏览。
    检查CA提供的审计报告是否满足360根认证策略中对于审计的要求。
    如果CA签发EV SSL证书，360将检查CA各项操作是否符合 CA/Browser Forum's EV guidelines。
    在这一阶段，对于CA提交的材料有不清楚或有疑问的地方，360可能会要求提供额外的信息或做进一步澄清。

三. 批准请求
    若CA机构的业务操作、管理等情况得到360的普遍认可，360将把CA根预置请求进入批准阶段。
    对于CA机构的根预置请求，360浏览器根证书计划项目负责人具有最终决定权。
        若请求未批准，360将会列出所有需要整改的条目，供CA机构做出必要的改变。
        若请求批准后，360将确认CA预置请求已批准，并可进入下一阶段。

四. 预置测试
    整个测试过程一般在二个月内完，具体测试时间取决于测试中遇到的问题能否及时解决。
    CA机构测试完成后，确认CA预置测试已完成，等待360浏览器根信任库正式信任。

五. 正式信任
    在预置测试完成后，360将正式信任CA机构请求预置的证书，随360浏览器正式版本发布。

360浏览器根证书认证流程
https://caprogram.360.cn/#flow


https://caprogram.360.cn/360浏览器根证书预置申请表.docx


360信任的根证书列表
https://caprogram.360.cn/#trust


常见问题
https://caprogram.360.cn/#support

欧阳逍遥

某60的浏览器实在是不敢用，我不推荐大家用，个人亲身体验，某程序后台，在某60浏览器登录后，会被 ip 归属是某60的主机post请求（后台有登录失败的日志），也是至此之后我换了chrome。

大猫

前排说点有意思的
Let's encrypt 不在360的根证书计划内，所以锁绿的有点特别，
Let's encrypt的OCSP被墙了，面向国内的服务要用免费证书还是亚洲诚信比较好
360的沃通注册了letsencrypt.cn
360是CA/B的成员
360收购了Opera浏览器
Opera 的一些原团队又创建了 Vivaldi  浏览器

广告部分：SSL证书请找我PY

  虽然我觉得360的这个根证书计划有点狂，但是360的国内市场占有率还可以，CA该配合他的演出 还是不会视而不见的

tir

不错不错，支持了

iks

大猫 发表于 2020-5-10 20:53
前排说点有意思的
Let's encrypt 不在360的根证书计划内，所以锁绿的有点特别，
Let's encrypt的OCSP被墙了 ...

Let's Encrypt 的根 CA 是 DST X3，明年过期，所以进不了360根证书计划
另外360还是对 CA 证书体系贼心不死

tem

cn的东西尽量少用

edison

不用360的东西 zsbd

keyboardman

拒绝360

vayne

不用大数字浏览器

CFCF

不用360，会搞你