先看一则新闻《国内首家!360浏览器推出自有根证书计划》https://baijiahao.baidu.com/s?id=1620184816687132325&wfr=spider&for=pc
看了360根证书计划,然后去网上查了些资料想给不懂技术的朋友科普下,但是基本没有查到我想要的东西。那么就先按我自己的理解说下这个根计划是怎么回事,如果有理解不到位或者说错的地方,极度欢迎指正。
我们上网的时候键入网址,然后浏览网页,没有留心过的人可以去看下,大多数情况网址开头分两种,http:// 和 https://。第一种是普通网址,第二种是加密协议的网址。什么意思呢?譬如说你访问淘宝,搜索飞机杯,点击搜索,那么浏览器就把你在搜索框里面输入的“飞机杯”三个字通过网络发送给淘宝,然后淘宝在服务器上搜到商品,返回给你的浏览器,你就看到你搜的商品了。但是在通过网络发送你输入的“飞机杯”三个字的时候,由于网络很庞大,有很多中间环节,很有可能会被劫持或者监听。也就是说有个坏人可能知道你小子在淘宝上搜飞机杯。如果你访问的网站是通过 http 方式传输内容,那么这些内容是不加密的,别人劫持到你发送的信息就能看出来你搜的是什么。而如果是 https 方式,则传输的内容会被加密,别人就算拿到了你发出去的信息,也看不懂里面是什么。那么要让 https 这种方式玩转起来,技术实现里面需要用到数字签名这个东西,也就是俗称的证书。
如何理解这个证书呢?我打个不恰当的比方。在古代,你买了贵重的货物要寄回老家孝敬你的父母,你自己又没有办法亲自送,或者说自己送很不安全。这个时候你就要借助镖局的力量。镖局就好比 https 加密算法。如果货物运送过程中遇到强盗,好比网络上劫持数据的坏蛋。那么镖局可以保证货物不受损失。那么成立一个镖局,理论上有一定门槛,但是有点实力的都能开,并没有什么垄断性的门槛。那么你选镖局的时候怎么选呢?会不会选到一个监守自盗的镖局呢?(用黑客自己实现的 https 加密算法)。这个时候皇帝就出面了,说我设计一种证书,我对开镖局的人进行认证,符合条件的,信用度高的,我就给发证书,那么拿着这个证书的镖局,你可以认为是可信任的,放心雇佣。这个时候皇帝扮演的就是根证书的颁发机构,皇帝颁发的就是证书。
怎么理解这个“根”字呢?随着开镖局的人越来越多,皇帝忙不过来来了,就放权给下面,财政部,科技部,公安部你们都可以发证书,你们是我这个皇帝的政府机构,我天子给你们授予颁发证书的权力。这个时候各个部门颁发的就是二级证书。以此为信任链,只要二级证书的持有镖局,我们也认为是可信任的。
360好比什么呢?县官的师爷,如果有人到衙门里面来验证镖局的资质呢,他就处理下。碰到不靠谱的镖局呢,他就提醒下人家:哎,你要用的这个镖局没有官方资质,小心有诈人才两空啊。
360根证书计划是什么意思呢?就是师爷自己动起了小心思,他自己也想私自颁发一些证书给一些镖局,当那些“师爷镖局”到他这里来验证的时候呢,他自然也告诉别人这些个镖局是可信任的,让人放心使用。
师爷是我打的比方,现实中360的可信任程度比师爷应该高不少,但是360是做什么出身的(自行百度了解下)?然后纵观历史,他自己成为根证书颁发者的可信任度如何?大家自己评判下,如果要对比可以拿谷歌来对比下,谷歌也有类似的根计划。这里不是说我对谷歌绝对信任,同样的谷歌提出要做根计划的时候,很多人提出质疑你是即当裁判又当运动员啊,不合适吧。相关的事件还有赛门铁克,赛门铁克也是根证书颁发机构,但是由于种种原因,赛门铁克曾经颁发出很多无效的证书,导致很多网络劫持事件发生,其根证书资格就被各大浏览器认为不可信任的。赛门铁克还不是做浏览器的,而360......你懂的。
所以我对360根技术持保留态度。以上也只是我自己的理解,不代表权威解释,大家如何选择就自行考虑。
