域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

很多人以為安全軟件與病毒的仗已經(jīng)打完，事實(shí)上，遠(yuǎn)非如此。

近年來(lái)，國(guó)內(nèi)外各大網(wǎng)站頻遭攻擊。去年5月份，國(guó)務(wù)院app中的H5網(wǎng)頁(yè)疑似被劫持，頁(yè)面上出現(xiàn)掛彈窗廣告;今年八月份，浙江紹興警方偵破了“史上最大規(guī)模數(shù)據(jù)竊取案”，其起因是沒(méi)有全站部署HTTPS加密，從而被黑客鉆了空子，導(dǎo)致全國(guó)96家互聯(lián)網(wǎng)公司，約30億條用戶數(shù)據(jù)被非法竊取;而不久前，Google又因?yàn)橐粋€(gè)BUG，使得約5200萬(wàn)用戶的個(gè)人私人數(shù)據(jù)被泄露。

有別于以往熊貓燒香這種病毒明目張膽的廣泛傳播方式，上述勒索病毒的攻擊行為變得更為隱蔽。很多時(shí)候，他們會(huì)鎖定更高價(jià)值的目標(biāo)，通過(guò)http或dns網(wǎng)絡(luò)劫持進(jìn)行中間人攻擊，甚至在攻擊完關(guān)鍵系統(tǒng)、偷取數(shù)據(jù)之后，還能全身而退不被發(fā)現(xiàn)。

顯然，以個(gè)人隱私數(shù)據(jù)泄露等事件為代表的網(wǎng)絡(luò)安全，仍然面臨嚴(yán)峻的挑戰(zhàn)。不久前， 在2018網(wǎng)絡(luò)空間可信峰會(huì)上，360瀏覽器遂公開(kāi)宣稱將創(chuàng)建自有根證書計(jì)劃，這引起業(yè)界廣泛的關(guān)注。

但自建根證書是一件龐大且系統(tǒng)的工作，且這一行為本身是沒(méi)有太多的商業(yè)價(jià)值，因而其更需要諸如360瀏覽器等老牌互聯(lián)網(wǎng)科技企業(yè)，擁有更強(qiáng)的社會(huì)擔(dān)當(dāng)。

一、不被重視的根證書，成黑客入侵的重要通道

以前，人們對(duì)CA公司產(chǎn)生了過(guò)度信任，認(rèn)為帶有https的網(wǎng)站就是可信的。因?yàn)槠渖矸菪ｒ?yàn)體系是基于PKI體系，而在這體系中，CA往往一開(kāi)始就被假定是可信的。然而，CA也是一個(gè)商業(yè)化機(jī)構(gòu)，在不受監(jiān)管的條件下，CA公司管理上出現(xiàn)問(wèn)題也往往造成證書濫發(fā)，從而使得證書信用鏈背上信用債。

早在2013年，斯諾登泄漏的文件曾指出，美國(guó)NSA利用一些CA頒發(fā)的偽造證書截取并破解大量加密https流量，這使得CA的權(quán)威性開(kāi)始遭受質(zhì)疑。

直到2017年，以Ryan Sleevi為首的Google Chrome調(diào)查小組，發(fā)現(xiàn)賽門鐵克收購(gòu)Verisign后的證書部門，錯(cuò)誤簽發(fā)3萬(wàn)張https證書。賽門鐵克證書門使得瀏覽器廠商對(duì)CA機(jī)構(gòu)的不信任達(dá)到了頂峰，當(dāng)時(shí)國(guó)際五大瀏覽器同時(shí)發(fā)布不信任計(jì)劃。最后，全球市場(chǎng)份額第二的賽門鐵克證書部門整體出售給Digicert，而全球30%的網(wǎng)站需要更換CA供應(yīng)商。

CA機(jī)構(gòu)的不靠譜行為，使得人們依靠CA證書辨別網(wǎng)站安全性，也成為了泡影。更何況當(dāng)前的互聯(lián)網(wǎng)，不再只是滿足人們查詢信息、瀏覽新聞網(wǎng)站門戶的需要，還提供了社交、電商等與財(cái)務(wù)、個(gè)人隱私高度相關(guān)的服務(wù)，那么，打開(kāi)的網(wǎng)頁(yè)一旦被黑客入侵，其對(duì)用戶的危害性也將加倍放大。

然而，和這種安全威脅緊迫性截然相反，國(guó)內(nèi)很多網(wǎng)站對(duì)根證書大多不太重視?？傮w來(lái)看，主要呈現(xiàn)以下幾大問(wèn)題：

第一，網(wǎng)站使用者不重視“http”與“https”的區(qū)別。相較而言，https多是通過(guò)CA認(rèn)證的網(wǎng)站，安全性較“http”根的要高些。2015年開(kāi)始，國(guó)內(nèi)大型互聯(lián)網(wǎng)公司開(kāi)發(fā)的網(wǎng)站都陸續(xù)遷移到強(qiáng)制https進(jìn)行訪問(wèn)。但是，仍然有很多行業(yè)的網(wǎng)站并沒(méi)有使用“https”，譬如酒旅航空領(lǐng)域的藝龍、窮游、中國(guó)航空公司等企業(yè)網(wǎng)站，并且很多瀏覽器對(duì)這些網(wǎng)站也并沒(méi)有限制性、或提示性的標(biāo)記。

第二，瀏覽器本身也存在著技術(shù)及更新升級(jí)問(wèn)題。除了顯性層面的網(wǎng)頁(yè)本身存在的安全性，比如像瀏覽器內(nèi)核過(guò)時(shí)，不及時(shí)更新，那么可能存在的高危漏洞就比較多。這一方面，以往360瀏覽器表現(xiàn)相對(duì)較好，擁有15層的安全防御體系，并且360安全衛(wèi)士也會(huì)按月修補(bǔ)高危漏洞。但是，行業(yè)內(nèi)多數(shù)廠商仍不太重視。

并且，在底層加密算法套件這一塊，也很考驗(yàn)瀏覽器廠商的安全防護(hù)能力。比如很多https網(wǎng)站采用了全站加密，但是由于瀏覽器底層加密算法不過(guò)關(guān)，被黑客鉆空子的現(xiàn)象也比比皆是。

二、自建根證書信用系統(tǒng)，國(guó)內(nèi)瀏覽器還有幾場(chǎng)硬仗要打

在賽門鐵克證書門后，瀏覽器行業(yè)巨頭Google開(kāi)始著手自有CA根證書體系搭建。除中國(guó)外，Google在全球其他國(guó)家和地區(qū)相對(duì)來(lái)說(shuō)還是處于壟斷地位，做這事的阻力比之中國(guó)的瀏覽器廠商要小得多。那么，國(guó)內(nèi)瀏覽器要?jiǎng)?chuàng)建自有根證書，重新構(gòu)建證書信用鏈，還面臨著哪些挑戰(zhàn)呢?在響鈴看來(lái)，有這么幾點(diǎn)：

第一，對(duì)不安全的“http”網(wǎng)站，進(jìn)行普遍性市場(chǎng)教育，有一定挑戰(zhàn)。 Web瀏覽器對(duì)用戶來(lái)講，大多還停留在“只是使用”的階段。多數(shù)用戶只會(huì)關(guān)注頁(yè)面的內(nèi)容，很少會(huì)去挖掘幕后的事情。在沒(méi)被病毒攻擊前，“http”網(wǎng)站和“https”網(wǎng)站并沒(méi)有太大的區(qū)別。只有在安全威脅降臨的時(shí)候，用戶才會(huì)引起重視。因此，要將“http網(wǎng)站是不安全的”這樣一個(gè)信息，進(jìn)行普遍性教育，可能會(huì)存在著一定難度。360瀏覽器在著手自有根證書創(chuàng)建時(shí)，考慮到這樣的一個(gè)大環(huán)境，則是通過(guò)對(duì)用戶端進(jìn)行警示的措施，來(lái)倒逼“http”網(wǎng)站使用者引起重視。

第二，技術(shù)上，需要瀏覽器廠商有過(guò)硬的病毒過(guò)濾技術(shù)、AI算法以及足夠多的根證書大數(shù)據(jù)。 百度、360、搜狗等瀏覽器都各有特色，或在內(nèi)容進(jìn)行發(fā)力，或在安全、AI等技術(shù)層面進(jìn)行發(fā)力。但是就網(wǎng)絡(luò)安全環(huán)境的建設(shè)，防護(hù)依然是當(dāng)前擺在首要位置的措施，過(guò)硬的病毒過(guò)濾技術(shù)，仍是網(wǎng)絡(luò)安全的第一道防護(hù)線。當(dāng)然，其中加密算法是影響防護(hù)能力的重要因素，360本就以安全軟件起家，目前擁有“支持國(guó)密算法，支持國(guó)密雙向證書校驗(yàn)”的優(yōu)勢(shì)，而且11年的積累，也有著足夠多的根證書大數(shù)據(jù)。

在CA證書信任危機(jī)之下，以安全防護(hù)起家的360瀏覽器自建根證書系統(tǒng)，也是情理之中。一方面，通過(guò)操作系統(tǒng)信任的根證書積累數(shù)據(jù)，另一方面也積極自建根證書信任數(shù)據(jù)庫(kù)。但360瀏覽器的規(guī)則顯得較為強(qiáng)勢(shì)，即如果360瀏覽器認(rèn)為某根證書有威脅，即便是系統(tǒng)默認(rèn)信任的，360也會(huì)對(duì)其移除。因而，其具有一套自己的安全判斷邏輯，對(duì)自建的根證書信任庫(kù)賦予了更大的權(quán)重。

第三，根證書認(rèn)證過(guò)程中，CA的配合度很關(guān)鍵。 互聯(lián)網(wǎng)要有強(qiáng)大的議價(jià)權(quán)，則其必須具備一定規(guī)模的用戶群。擁有近4億用戶的360瀏覽器，還是具備一定的實(shí)力，因而CA有配合的理由。其認(rèn)證過(guò)程，包括CA申請(qǐng)、信息驗(yàn)證、批準(zhǔn)請(qǐng)求、預(yù)置測(cè)試、正式信任五個(gè)部分。策略上，360瀏覽器先是號(hào)召CA主動(dòng)參與，借助技術(shù)實(shí)現(xiàn)聚集CA機(jī)構(gòu)以及完成初步審核工作，而具體材料的審核則采用人工審核的方式，以更為審慎嚴(yán)謹(jǐn)?shù)膽B(tài)度，來(lái)增強(qiáng)360根證書體系的信任度。

顯然，360瀏覽器在做純公益性的安全體系建設(shè)，是真正愿意花大人力、物力來(lái)解決這件事情，決心也可見(jiàn)一斑。

三、沒(méi)有商業(yè)價(jià)值也要不遺余力去做，360瀏覽器到底圖啥？

近來(lái)，社會(huì)價(jià)值投資聯(lián)盟以滬深300成分股為對(duì)象，從社會(huì)、經(jīng)濟(jì)和環(huán)境綜合效益為評(píng)估模型，評(píng)選出了“義利99”榜單，中國(guó)建筑、萬(wàn)科、京東方等企業(yè)都囊括其中。他們認(rèn)為，只有滿足了社會(huì)的需求，才能真正創(chuàng)造價(jià)值，而收益、收獲也是自然的結(jié)果。

社投盟的這一行徑，某種程度上也說(shuō)明了在當(dāng)今的企業(yè)家價(jià)值體系里，對(duì)于企業(yè)所創(chuàng)造的價(jià)值評(píng)判，或又多了義的維度。企業(yè)家們?cè)谡贫媲靶蟹较虻耐瑫r(shí)，可能會(huì)更關(guān)注自己的企業(yè)能從哪些角度切入，怎樣賦能用戶或合作伙伴。這或許是360瀏覽器明知?jiǎng)?chuàng)建自有根證書體系，沒(méi)什么商業(yè)價(jià)值，但是仍樂(lè)此不疲的原因所在。響鈴認(rèn)為，360瀏覽器做這件事，至少能帶來(lái)三大正面反饋。

1、可以為行業(yè)凈化網(wǎng)絡(luò)環(huán)境，提供一個(gè)新方向。 在互聯(lián)網(wǎng)成為各行各業(yè)標(biāo)配的同時(shí)，互聯(lián)網(wǎng)企業(yè)也隨之壯大，但是網(wǎng)絡(luò)環(huán)境依然存在著諸多威脅。比如黑客可以通過(guò)利用瀏覽器和flash的0 day漏洞，加載含有越權(quán)漏洞的代碼控制計(jì)算機(jī)系統(tǒng);可以通過(guò)網(wǎng)頁(yè)腳本，訪問(wèn)惡意網(wǎng)頁(yè)的計(jì)算機(jī)進(jìn)行挖礦。利用殺毒軟件阻擊黑客攻擊是一方面，但如果換個(gè)角度，如360瀏覽器和谷歌所進(jìn)行的根證書信任庫(kù)建設(shè)的浩瀚工程，從病毒通道層面進(jìn)行阻擊，也不失為一個(gè)好方向。

2、可以更深層次引導(dǎo)行業(yè)發(fā)展方向，創(chuàng)建更“干凈”的盈利模式。 從Google、百度等瀏覽器巨頭的盈利模式來(lái)看，廣告收入依然占據(jù)大頭。像Google模式中，更是將精準(zhǔn)觸達(dá)率作為廣告收費(fèi)的標(biāo)準(zhǔn)，這是站在用戶角度思考問(wèn)題，因而更看重用戶的體驗(yàn)感。這也是中國(guó)瀏覽器發(fā)展的方向，因此，360瀏覽器重塑根證書認(rèn)證信任鏈，亦是在為用戶創(chuàng)建一個(gè)信任、安全的社區(qū)生態(tài)，從而增強(qiáng)用戶對(duì)內(nèi)容的信任度。最高級(jí)的廣告應(yīng)該是潤(rùn)物細(xì)無(wú)聲，未來(lái)，廣告的部分理應(yīng)讓渡給內(nèi)容及用戶體驗(yàn)，并且精準(zhǔn)觸達(dá)，AI及算法為這種盈利模式更為精細(xì)化提供了可能。這樣一來(lái)，相較于以前，廣告滲透轉(zhuǎn)化的效率也會(huì)因干凈的環(huán)境而變得輕松一些。

3、用戶有了更信任、更安全的上網(wǎng)環(huán)境后，又能反哺瀏覽器。 當(dāng)前，業(yè)內(nèi)主要瀏覽器都將重心鎖定在內(nèi)容和分發(fā)上，實(shí)際上對(duì)用戶來(lái)講，安全也是很重要的一個(gè)方面。事實(shí)上，大多用戶在這一方面，本就是假定信任瀏覽器廠商的。因而，像百度、360瀏覽器等常用瀏覽器廠商，他們肩上的擔(dān)子也就更重。

誠(chéng)然，改善內(nèi)容輸出的精準(zhǔn)性、豐富性以及獲取信息的便捷性，確實(shí)能改善用戶使用體驗(yàn)。但網(wǎng)絡(luò)安全，則決定著用戶使用該瀏覽器的頻率，畢竟電腦總是被黑客攻擊是一件很鬧心的事情。因而，內(nèi)容與安全應(yīng)該是兩手抓，畢竟由用戶使用的安心度，所帶來(lái)的“流量黏性”的指標(biāo)反哺，更為難得。

從短期來(lái)看，360瀏覽器自建根證書體系并不賺錢。但是，長(zhǎng)遠(yuǎn)來(lái)看，卻能夠贏得更多用戶的信任。而且，在主動(dòng)承擔(dān)行業(yè)責(zé)任的時(shí)候，也使得360瀏覽器本身的威信能得以提升。未來(lái)，在互聯(lián)網(wǎng)信任體系中，瀏覽器等工具類廠商所能創(chuàng)造的社會(huì)價(jià)值，將變得更加重要。

【完】曾響鈴

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！