360浏览器根证书计划
360是中国互联网安全公司,360团队一直致力于互联网的安全发展。
在过去的几年里,互联网环境日趋复杂。随着互联网网络基础设施和网络的在快速发展,证书管理的问题越来越困扰公钥基础设施(PKI),数字证书安全问题越来越受到国内外用户的关注。Web浏览器面临着艰巨情况,用户只专注于页面的内容,但是对在幕后发生的事情不甚了解。
每天各个CA机构新增和吊销的证书已呈现一定的数量级,证书滥发、错发、无意信任等情况时有发生,证书可信性,真实性无法及时有效的校验。为了解决这些问题,CA机构已经实现了一些更好的管理方法,但有时候很难依赖它们,这意味着证书管理方面还存在一些未解决的安全问题。为了增强我们对那些证书问题的应对能力,可以通过提高问题处理的效率、缩短风险周期,有效识别出网站证书是由具体CA机构签发的真实性,进一步帮助用户识别可信安全证书,360决定创建自己的根证书计划。
360浏览器通常信任底层操作系统信任的根证书,但现在也会配置自己的根信任库。360有权移除任何证书。
360浏览器根证书计划主要适用于360浏览器。
浏览器相关问题:kefu@360.cn
CA厂商申请入根:caprogram@360.cn
360浏览器根证书计划
https://caprogram.360.cn/#plan
360浏览器根证书认证策略
1.2版本
介绍
下面是360浏览器根证书认证的策略,该策略是为使用web服务器由CA发布的终端用户证书用于SSL / TLS认证。
360官方负责人将维护这一策略并评估来自CA的新请求,360有权随时修改该策略。
360将决定哪些CA证书可以加入根证书计划,独立加入系统根信任库,因此,360也有权决定在根证书计划中移除某个CA证书。
CA根证书申请加入360浏览器根证书计划,360不会收取任何费用。
认证机构(CAs)
这一部分主要是指技术实现
所有CA机构必须:
申请加入360根证书库的CA机构根证书,从提交申请开始计算,根证书的有效期至少超过8年。
从根证书提交之日起,不超过25年有效期。
确保签发的所有子CA、用户证书都符合CA/Browser Forum Baseline Requirements的相关规定,并且/或者EV准则。
根证书的下属子CA不再签发1024位的服务器证书和SHA1算法。
子CA必须有CA/Browser Forum Baseline Requirements所定义的扩展密钥用法
根据CA/Browser Forum Baseline Requirements来吊销证书,CA必须24×7维持储存库在线,以便应用软件能够自动查询CA颁发的所有未过期证书的当前状态。
遵守CA /浏览器论坛网络安全指南或类似文件的要求,以确保网络和操作安全。
加强多因素验证,对有可能导致证书发布或执行相似技术控制的CA账户采取多因素验证。
遵守与CAA相关的RFC 6844,并说明如何管理。
所有的终端用户证书必须:
包含有效的OCSP URL、AIA URL和CRL URL,以及由CA/Browser Forum Baseline Requirements所定义的适用OIDs。
验证直到当前的所有证书信息,确保证书都在正确的有限期范围内,即最多825天。
文件
这一部分是指,每一个CA都应持有和维护CPS(认证操作规范)和CP(证书策略)。它还指出了当出现问题时该如何做出反应。
所有CA机构必须:
CA必须有自己的CP/CPS,并保证7×24小时在线公开机制,可随时浏览。
确保CP/CPS符合CA/Browser Forum Baseline Requirements的最新要求。
CA机构必须每年向360提供所有根证书的审计报告,CA机构必须采取CA/Browser Baseline requirements或者扩展验证准则规定方案中的一种进行审计。
CA审计报告中,必须包括对所有子CA,交叉根进行审计的部分,指明整个层级结构。 指定官方联系人,并将其详细信息提供给360。
当CA的证书或CA的运营所属权发生改变时,至少要提前30天通知360。
CA发生如根证书私钥泄露、基础设施故障、签发错误的用户证书等严重事件时,CA应不晚于24小时通知360,并向360提供完整的事件报告。
确保CP/CPS 明确规定了流程,CA是根据CA/Browser Forum Baseline Requirements的3.2.2小节来验证最终用户证书中包含的所有信息。
360浏览器根证书认证策略
https://caprogram.360.cn/#strategy
360浏览器根证书认证流程
360浏览器根证书认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。
为完成根证书预置,CA机构必须遵守360浏览器根证书认证策略的规定,并提供所有需要的材料,360浏览器根认证项目负责人将会对这些材料进行审核。
一. CA申请
申请加入的组织必须是一个合法的证书颁发机构(CA)。
根证书预置申请必须以公司名义提出,CA机构的官方代表必须参与到根证书预置的申请工作中,且有能力与360项目负责人沟通处理任何问题。
CA代表将会向360发送一封邮件,内含所有必要的申请信息,以提交正式请求。
CA必须填写根证书预置申请表,包括CA机构的基本信息、根证书的技术参数、根证书的层级信息、策略几个部分内容。
CA确保提交的所有文件、审计报告,符合 CA/Browser Forum Baseline Requirements的规定。
二. 信息验证
360将指定官方负责人处理CA信息审核。如果有需要,360会要求提供额外的信息。这个过程一般在一个月内完成,具体持续时间取决于CA提供的信息的完整性和CA对问题的反应时间。
检查CA提供的根证书文件是否符合CA/BR要求,相关的CRL、AIA、OCSP服务是否正常运行。
检查CP/CPS内容是否符合BR对CA机构的要求,确保CP/CPS跟进BR的最新版本,定期进行更新,并保证CP/CPS能随时在线浏览。
检查CA提供的审计报告是否满足360根认证策略中对于审计的要求。
如果CA签发EV SSL证书,360将检查CA各项操作是否符合 CA/Browser Forum’s EV guidelines。
在这一阶段,对于CA提交的材料有不清楚或有疑问的地方,360可能会要求提供额外的信息或做进一步澄清。
三. 批准请求
若CA机构的业务操作、管理等情况得到360的普遍认可,360将把CA根预置请求进入批准阶段。
对于CA机构的根预置请求,360浏览器根证书计划项目负责人具有最终决定权。
若请求未批准,360将会列出所有需要整改的条目,供CA机构做出必要的改变。
若请求批准后,360将确认CA预置请求已批准,并可进入下一阶段。
四. 预置测试
整个测试过程一般在二个月内完,具体测试时间取决于测试中遇到的问题能否及时解决。
CA机构测试完成后,确认CA预置测试已完成,等待360浏览器根信任库正式信任。
五. 正式信任
在预置测试完成后,360将正式信任CA机构请求预置的证书,随360浏览器正式版本发布。
360浏览器根证书认证流程
https://caprogram.360.cn/#flow
https://caprogram.360.cn/360浏览器根证书预置申请表.docx
360信任的根证书列表
https://caprogram.360.cn/#trust
常见问题
https://caprogram.360.cn/#support
原创文章,作者:陌涛,如若转载,请注明出处:https://imotao.com/2478.html
微信扫一扫 
