360浏览器根证书计划

360浏览器根证书计划
360是中国互联网安全公司，360团队一直致力于互联网的安全发展。
在过去的几年里，互联网环境日趋复杂。随着互联网网络基础设施和网络的在快速发展，证书管理的问题越来越困扰公钥基础设施（PKI），数字证书安全问题越来越受到国内外用户的关注。Web浏览器面临着艰巨情况，用户只专注于页面的内容，但是对在幕后发生的事情不甚了解。
每天各个CA机构新增和吊销的证书已呈现一定的数量级，证书滥发、错发、无意信任等情况时有发生，证书可信性，真实性无法及时有效的校验。为了解决这些问题，CA机构已经实现了一些更好的管理方法，但有时候很难依赖它们，这意味着证书管理方面还存在一些未解决的安全问题。为了增强我们对那些证书问题的应对能力，可以通过提高问题处理的效率、缩短风险周期，有效识别出网站证书是由具体CA机构签发的真实性，进一步帮助用户识别可信安全证书，360决定创建自己的根证书计划。
360浏览器通常信任底层操作系统信任的根证书，但现在也会配置自己的根信任库。360有权移除任何证书。
360浏览器根证书计划主要适用于360浏览器。
浏览器相关问题：[email protected]
CA厂商申请入根：[email protected]

360浏览器根证书计划
https://caprogram.360.cn/#plan

360浏览器根证书认证策略
1.2版本
介绍
下面是360浏览器根证书认证的策略，该策略是为使用web服务器由CA发布的终端用户证书用于SSL / TLS认证。
360官方负责人将维护这一策略并评估来自CA的新请求，360有权随时修改该策略。
360将决定哪些CA证书可以加入根证书计划，独立加入系统根信任库，因此，360也有权决定在根证书计划中移除某个CA证书。
CA根证书申请加入360浏览器根证书计划，360不会收取任何费用。
认证机构(CAs)
这一部分主要是指技术实现
所有CA机构必须：
      申请加入360根证书库的CA机构根证书，从提交申请开始计算，根证书的有效期至少超过8年。
      从根证书提交之日起，不超过25年有效期。
      确保签发的所有子CA、用户证书都符合CA/Browser Forum Baseline Requirements的相关规定，并且/或者EV准则。
      根证书的下属子CA不再签发1024位的服务器证书和SHA1算法。
      子CA必须有CA/Browser Forum Baseline Requirements所定义的扩展密钥用法
      根据CA/Browser Forum Baseline Requirements来吊销证书，CA必须24×7维持储存库在线，以便应用软件能够自动查询CA颁发的所有未过期证书的当前状态。
      遵守CA /浏览器论坛网络安全指南或类似文件的要求，以确保网络和操作安全。
      加强多因素验证，对有可能导致证书发布或执行相似技术控制的CA账户采取多因素验证。
      遵守与CAA相关的RFC 6844，并说明如何管理。
      所有的终端用户证书必须：
      包含有效的OCSP URL、AIA URL和CRL URL，以及由CA/Browser Forum Baseline Requirements所定义的适用OIDs。
      验证直到当前的所有证书信息，确保证书都在正确的有限期范围内，即最多825天。
文件
这一部分是指，每一个CA都应持有和维护CPS(认证操作规范)和CP(证书策略)。它还指出了当出现问题时该如何做出反应。
所有CA机构必须：
      CA必须有自己的CP/CPS，并保证7×24小时在线公开机制，可随时浏览。
      确保CP/CPS符合CA/Browser Forum Baseline Requirements的最新要求。
      CA机构必须每年向360提供所有根证书的审计报告，CA机构必须采取CA/Browser Baseline requirements或者扩展验证准则规定方案中的一种进行审计。
      CA审计报告中，必须包括对所有子CA，交叉根进行审计的部分，指明整个层级结构。指定官方联系人，并将其详细信息提供给360。
      当CA的证书或CA的运营所属权发生改变时，至少要提前30天通知360。
      CA发生如根证书私钥泄露、基础设施故障、签发错误的用户证书等严重事件时，CA应不晚于24小时通知360，并向360提供完整的事件报告。
      确保CP/CPS 明确规定了流程，CA是根据CA/Browser Forum Baseline Requirements的3.2.2小节来验证最终用户证书中包含的所有信息。

360浏览器根证书认证策略
https://caprogram.360.cn/#strategy

360浏览器根证书认证流程
360浏览器根证书认证过程，包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。
为完成根证书预置，CA机构必须遵守360浏览器根证书认证策略的规定，并提供所有需要的材料，360浏览器根认证项目负责人将会对这些材料进行审核。
一. CA申请
申请加入的组织必须是一个合法的证书颁发机构（CA）。
根证书预置申请必须以公司名义提出，CA机构的官方代表必须参与到根证书预置的申请工作中，且有能力与360项目负责人沟通处理任何问题。
CA代表将会向360发送一封邮件，内含所有必要的申请信息，以提交正式请求。
CA必须填写根证书预置申请表，包括CA机构的基本信息、根证书的技术参数、根证书的层级信息、策略几个部分内容。
CA确保提交的所有文件、审计报告，符合 CA/Browser Forum Baseline Requirements的规定。

二. 信息验证
360将指定官方负责人处理CA信息审核。如果有需要，360会要求提供额外的信息。这个过程一般在一个月内完成，具体持续时间取决于CA提供的信息的完整性和CA对问题的反应时间。
检查CA提供的根证书文件是否符合CA/BR要求，相关的CRL、AIA、OCSP服务是否正常运行。
检查CP/CPS内容是否符合BR对CA机构的要求，确保CP/CPS跟进BR的最新版本，定期进行更新，并保证CP/CPS能随时在线浏览。
检查CA提供的审计报告是否满足360根认证策略中对于审计的要求。
如果CA签发EV SSL证书，360将检查CA各项操作是否符合 CA/Browser Forum’s EV guidelines。
在这一阶段，对于CA提交的材料有不清楚或有疑问的地方，360可能会要求提供额外的信息或做进一步澄清。

三. 批准请求
若CA机构的业务操作、管理等情况得到360的普遍认可，360将把CA根预置请求进入批准阶段。
对于CA机构的根预置请求，360浏览器根证书计划项目负责人具有最终决定权。
若请求未批准，360将会列出所有需要整改的条目，供CA机构做出必要的改变。
若请求批准后，360将确认CA预置请求已批准，并可进入下一阶段。

四. 预置测试
整个测试过程一般在二个月内完，具体测试时间取决于测试中遇到的问题能否及时解决。
CA机构测试完成后，确认CA预置测试已完成，等待360浏览器根信任库正式信任。

五. 正式信任
在预置测试完成后，360将正式信任CA机构请求预置的证书，随360浏览器正式版本发布。

360浏览器根证书认证流程
https://caprogram.360.cn/#flow

https://caprogram.360.cn/360浏览器根证书预置申请表.docx

360信任的根证书列表
https://caprogram.360.cn/#trust

常见问题
https://caprogram.360.cn/#support

原创文章，作者：陌涛，如若转载，请注明出处：https://imotao.com/2478.html