是中国互联网安全公司，360团队一直致力于互联网的安全发展。在过去的几年里，互联网环境日趋复杂。随着互联网网络基础设施和网络的在快速发展，证书管理的问题越来越困扰公钥基础设施（PKI），数字证书安全问题越来越受到国内外用户的关注。Web浏览器面临着艰巨情况，用户只专注于页面的内容，但是对在幕后发生的事情不甚了解。每天各个CA机构新增和吊销的证书已呈现一定的数量级，证书滥发、错发、无意信任等情况时有发生，证书可信性，真实性无法及时有效的校验。为了解决这些问题，CA机构已经实现了一些更好的管理方法，但有时候很难依赖它们，这意味着证书管理方面还存在一些未解决的安全问题。为了增强我们对那些证书问题的应对能力，可以通过提高问题处理的效率、缩短风险周期，有效识别出网站证书是由具体CA机构签发的真实性，进一步帮助用户识别可信安全证书，360决定创建自己的根证书计划。360浏览器通常信任底层操作系统信任的根证书，但现在也会配置自己的根信任库。360有权移除任何证书。360浏览器根证书计划主要适用于360浏览器。浏览器相关问题：kefu@360.cnCA厂商申请入根：caprogram@360.cn360浏览器根证书认证策略1.2版本-介绍下面是360浏览器根证书认证的策略，该策略是为使用web服务器由CA发布的终端用户证书用于SSL / TLS认证。360官方负责人将维护这一策略并评估来自CA的新请求，360有权随时修改该策略。360将决定哪些CA证书可以加入根证书计划，独立加入系统根信任库，因此，360也有权决定在根证书计划中移除某个CA证书。CA根证书申请加入360浏览器根证书计划，360不会收取任何费用。-认证机构(CAs)这一部分主要是指技术实现所有CA机构必须：申请加入360根证书库的CA机构根证书，从提交申请开始计算，根证书的有效期至少超过8年。从根证书提交之日起，不超过25年有效期。确保签发的所有子CA、用户证书都符合CA/Browser Forum Baseline Requirements的相关规定，并且/或者EV准则。根证书的下属子CA不再签发1024位的服务器证书和SHA算法。子CA必须有CA/Browser Forum Baseline Requirements所定义的扩展密钥用法根据CA/Browser Forum Baseline Requirements来吊销证书，CA必须24x7维持储存库在线，以便应用软件能够自动查询CA颁发的所有未过期证书的当前状态。遵守CA /浏览器论坛网络安全指南或类似文件的要求，以确保网络和操作安全。加强多因素验证，对有可能导致证书发布或执行相似技术控制的CA账户采取多因素验证。遵守与CAA相关的RFC 6844，并说明如何管理。所有的终端用户证书必须：包含有效的OCSP URL、AIA URL和CRL URL，以及由CA/Browser Forum Baseline Requirements所定义的适用OIDs。验证所包含的所有信息均为当前，且在正确的有效期内，即至少825天。-文件这一部分是指，每一个CA都应持有和维护CPS(认证操作规范)和CP(证书策略)。它还指出了当出现问题时该如何做出反应。所有CA机构必须：CA必须有自己的CP/CPS，并保证7x24小时在线公开机制，可随时浏览。确保CP/CPS符合CA/Browser Forum Baseline Requirements的最新要求。CA机构必须每年向360提供所有根证书的审计报告，CA机构必须采取CA/Browser Baseline requirements或者扩展验证准则规定方案中的一种进行审计。CA审计报告中，必须包括对所有子CA，交叉根进行审计的部分，指明整个层级结构。 16. 指定官方联系人，并将其详细信息提供给360。当CA的证书或CA的运营所属权发生改变时，至少要提前30天通知360。CA发生如根证书私钥泄露、基础设施故障、签发错误的用户证书等严重事件时，CA应不晚于24小时通知360，并向360提供完整的事件报告。确保CP/CPS 明确规定了流程，CA是根据CA/Browser Forum Baseline Requirements的3.2.2.4小节来验证最终用户证书中包含的所有信息。360浏览器根证书认证流程360浏览器根证书认证过程，包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。为完成根证书预置，CA机构必须遵守的规定，并提供所有需要的材料，360浏览器根认证项目负责人将会对这些材料进行审核。一. CA申请申请加入的组织必须是一个合法的证书颁发机构（CA）。根证书预置申请必须以公司名义提出，CA机构的官方代表必须参与到根证书预置的申请工作中，且有能力与360项目负责人沟通处理任何问题。CA代表将会向360发送一封邮件，内含所有必要的申请信息，以提交正式请求。CA必须填写根证书预置申请表，包括CA机构的基本信息、根证书的技术参数、根证书的层级信息、策略几个部分内容。CA确保提交的所有文件、审计报告，符合 CA/Browser Forum Baseline Requirements的规定。二. 信息验证360将指定官方负责人处理CA信息审核。如果有需要，360会要求提供额外的信息。这个过程一般在一个月内完成，具体持续时间取决于CA提供的信息的完整性和CA对问题的反应时间。检查CA提供的根证书文件是否符合CA/BR要求，相关的CRL、AIA、OCSP服务是否正常运行。检查CP/CPS内容是否符合BR对CA机构的要求，确保CP/CPS跟进BR的最新版本，定期进行更新，并保证CP/CPS能随时在线浏览。检查CA提供的审计报告是否满足360根认证策略中对于审计的要求。如果CA发布EV SSL证书，360将检查CA各项操作是否符合 CA/Browser Forum's EV guidelines。在这一阶段，对于CA提交的材料有不清楚或有疑问的地方，360可能会要求提供额外的信息或做进一步澄清。三. 批准请求若CA机构的业务操作、管理等情况得到360的普遍认可，360将把CA根预置请求进入批准阶段。对于CA机构的根预置请求，360浏览器根证书计划项目负责人具有最终决定权。若请求未批准，360将会列出所有需要整改的条目，供CA机构做出必要的改变。若请求批准后，360将确认CA预置请求已批准，并可进入下一阶段。四. 预置测试整个测试过程一般在二个月内完，具体测试时间取决于测试中遇到的问题能否及时解决。CA机构测试完成后，确认CA预置测试已完成，等待360浏览器根信任库正式信任。五. 正式信任在预置测试完成后，360将正式信任CA机构请求预置的证书，随360浏览器正式版本发布。360信任的根证书列表机构根证书有效期详情ActalisActalis Authentication Root CA2011/9/22-2030/9/22AffirmTrustAffirmtrust Commercial2010/1/29-2030/12/31Affirmtrust Networking2010/1/29-2040/12/31Affirmtrust Premium2000/5/13-2025/5/13Affirmtrust Premium ECC2010/1/29-2040/12/31CertumCertum Trusted Network CA2008/10/22-2029/12/31DigiCertBaltimore CyberTrust Root2000/5/13-2025/5/13Cybertrust Global Root2006/12/15-2021/12/15DigiCert AssuredID Root CA2006/11/10-2031/11/10DigiCert AssuredID Root G22013/8/1-2038/1/15DigiCert AssuredID Root G32013/8/1-2038/1/15DigiCert Global Root CA2013/8/1-2038/1/15DigiCert Global Root G22013/8/1-2038/1/15DigiCert Global Root G32013/8/1-2038/1/15DigiCert HighAssurance EV Root CA2006/11/10-2031/11/10DigiCert Trusted Root G42013/8/1-2038/1/15Verizon GlobalRoot CA2009/7/30-2034/7/30EntrustEntrust.net Certification Authority (2048)1999/12/25-2029/7/24Entrust Root Certification Authority-EC12012/12/18-2037/12/18Entrust Root Certification Authority-G22009/7/8-2030/12/8Entrust Root Certification Authority-G42015/5/27-2037/12/27Entrust Root Certification Authority2006/11/28-2026/11/28GDCAGDCA TrustAUTH E5 ROOT2016/3/23-2040/12/31GDCA TrustAUTH R5 ROOT2014/11/26-2040/12/31数安时代 R5 根 CA2016/3/31-2040/12/31GlobalSignGlobalSign Root CA-R11998/9/1-2028/1/28GlobalSign Root CA-R22006/12/15-2021/12/15GlobalSign Root CA-R32009/3/18-2029/3/18GlobalSign ECC Root CA-R42012/11/13-2038/1/19GlobalSign Root CA-R52009/3/18-2029/3/18GlobalSign Root CA-R62014/12/10-2034/12/10Google Trusted Service LLCGTS Root R12016/6/22-2036/6/22GTS Root R22016/6/22-2036/6/22GTS Root R32016/6/22-2036/6/22GTS Root R42016/6/22-2036/6/22iTrusChinavTrus ECC Root CA2018/7/31-2043/7/31vTrus Root CA2018/7/31-2043/7/31SectigoSectigo (AAA)2004/1/1-2029/1/1Sectigo (AddTrust)2000/5/30-2020/5/30Sectigo (CCA)2011/1/1-2031/1/1Sectigo (formerly Comodo CA) ECC2008/3/6-2038/1/19Sectigo (formerly Comodo CA)2010/1/19-2038/1/19Sectigo ECC2010/2/1-2038/1/19Sectigo2010/2/1-2038/1/19SHECA（上海市数字证书认证中心有限公司）UCA Extended Validation Root2015/3/13-2038/12/31UCA Global G2 Root2016/3/11-2040/12/31SSL.comSSL.com EV Root Certification Authority ECC2016/2/13-2041/2/13SSL.com EV Root Certification Authority RSA R22017/6/1-2042/5/31SSL.com Root Certification Authority ECC2016/2/13-2041/2/13SSL.com Root Certification Authority RSA2016/2/13-2041/2/13TrustWaveSecure Global CA2006/11/8-2030/1/1Secure Trust CA2006/11/8-2030/1/1XRamp Global Certification Authority2004/11/2-2035/1/1WISeKeyOISTE WISeKey Global Root GB CA2014/12/1-2039/12/1OISTE WISeKey Global Root GC CA2017/5/9-2042/5/9为什么浏览器中会出现不安全警示？当某个网站采用的是不安全的HTTP协议时，地址栏会出现一个灰色锁图标；当某个网站采用的是不安全的HTTP协议，同时页面中需要您填写账号、密码等敏感信息时，360浏览器会做进一步警示，出现一个黄色提示条，这是为了提醒您，如果您输入这些信息，尤其是当您处于公共WiFi环境时，则它们可能被攻击者窃取。当遇到这种情况，您可以怎么做？当您常使用的网站出现上述提示时，为防止造成不必要的财产损失和信息流失，您可以尝试在地址栏中的网址之前输入“https://”——有些网站提供更安全的https页面，但需要您如此操作来进行重定向（对于不支持https协议的网站来说，此操作是无效的）。您也可以尝试联系网站管理员，要求他们提供安全的连接。当然您也可以选择在连接不安全的情况下，继续使用这个网站，甚至输入账号密码等信息，但其中的风险请您知悉；当您选择这样操作时，请尽量避免使用公共网络环境。另外，您需要掌握一些更安全的上网小技巧，比如为这个HTTP网站设置一个与其他重要网站不同的密码，以保护您在其他网站的信息安全。当出现上述黄色提示条但是您选择信任该网站时，您可以点击“我知道了”关闭它；也可以点击“不再提示”忽略此类提示，但是我们强烈建议您不要这样做，因为它可以在您处于不安全的网络连接时，给予您及时的提醒。浏览器地址栏图标有什么含义？：您与网站的连接是安全的且其证书在360根证书计划内；：您与网站的连接是安全的但其证书不在360根证书计划内；：您所在的网页采用了HTTPS协议，但网页中包含不安全的资源，比如页面中含有链接采用HTTP协议的图片；：您与网站的连接是不安全，请谨慎在该网站中输入个人信息。HTTPS协议是什么？Web浏览器和网站服务器之间传递信息时，如果采用HTTP协议（超文本传输协议），内容会以明文方式传送，没有任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息。因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷，需要使用另一种协议：HTTPS协议（安全套接字层超文本传输协议），为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。