零信浏览器于6月1日发布了全球公测版,10天内下载用户已经覆盖全球33个国家和地区(还有不少Tor网络匿名下载),这个受欢迎的程度已经出乎我这个总设计师的意外!但是,想起来也不意外,因为著名的国际组织- CA/浏览器论坛主席Dean Coclin先生应笔者的邮件要求,于6月7日晚在波兰召开的第56次面对面会议中转发了我的邮件,本是希望有机会在会议中插入一个简短的零信浏览器的介绍,但是由于会议议程早就安排好并非常紧而无法插入,就只能把我的PPT内容转发给论坛成员了。笔者真心在此感谢论坛主席先生的大力支持。
这个邮件转发时间是在晚上9点15分,从网站的请求量突增可以看出大家都对我的PPT话题非常感兴趣,并都通过PPT的介绍访问了零信浏览器英文网站(www.ztbrowser.com),并有不少用户下载了零信浏览器。本文就简单介绍一下我的PPT中主要讲的内容。
这次CA/浏览器论坛工作会议是在波兰华沙召开的(6月6日至8日),全球26家著名CA(11家现场和15家远程)、4大浏览器、审计机构(3家)都有专家和代表参加,还有受邀嘉宾参加。笔者希望能有机会在这次会议上讲的话题也是在零信浏览器6月1日发布后的6月3日(周五)才有这个想法,于是笔者邮件联系了Dean,会议周一就召开了,现在想想的确有点唐突,但是这些话题能引起与会者的关注,当然能说明我要讲的话题非常重要了。
第一个话题就是指出了目前有许多OV SSL证书和EV SSL证书的 O字段与网站实际身份严重不符的问题,希望CA/浏览器论坛能讨论出一个解决方案,因为CA/浏览器论坛的工作任务是制定各种数字证书签发标准的。这个问题笔者已经在其他博文提到过,这里就不再重复了,请参考《展示网站身份是浏览器的义务》。造成这个问题的关键是4大浏览器不再显示绿色地址栏,所以没有人真正关心证书中的O字段信息。但CA机构喜欢绿色地址栏,笔者是CA出身,所以,零信浏览器让绿色地址栏的重新回归得到了CA界的支持。
第二个话题就是介绍了零信浏览器对这个问题的解决方案,除了抛出这个话题希望CA/浏览器论坛能有解决方案外,零信浏览器拿出了自己解决方案,一是在浏览器地址栏不仅展示EV SSL证书的绿色地址栏和单位名称,而且展示 OV SSL证书的淡绿色地址栏和单位名称,展示IV SSL证书的淡绿色地址栏和个人姓名。这里也要感谢一位CA专家提议的原先我们是展示OV SSL证书和IV SSL证书为白色地址栏,但是由于同地址栏底色的白色一样,所以地址栏信息同其他显示都混在一起了,这位专家建议改为淡淡的绿色,因为OV SSL证书的验证只是比EV SSL证书的验证要稍微宽松些,但是也是已经验证网站身份的。我们认为这是一个好建议就赶紧发布了更新版本采纳了。
二是为已经部署了未验证网站身份的DV SSL证书的用户提出了一个补救方案--网站可信认证服务,我们必须正视83%的网站已经部署了DV SSL证书的现实,在此基础上增加一个网站身份认证服务来弥补,通过网站可信身份 EV认证后,零信浏览器就可以像网站部署了EV SSL证书一样展示绿色地址栏和单位名称,大家可以使用零信浏览器访问一下中国政府网:www.gov.cn 以及各个省政府网站,只要是网站部署了SSL证书,就能显示为绿色地址栏和单位名称,与网站部署的是什么类型的SSL证书无关,SSL证书就只负责传输加密,而身份信息则由浏览器来展示,由网站可信身份认证服务来负责认证。
第三个话题介绍了零信浏览器的网站安全理念和安全评级服务,我们并不认为网站部署了SSL证书就安全了,这一块只占安全评级打分的60%。还有20%给了云 WAF防护,一个没有任何安全防护的网站即使部署了SSL证书也是不安全的。剩下的20%给了网站可信身份认证,因为一个假冒银行网站也可能部署了 SSL证书和也可能有云WAF防护,但是绝对不可能通过可信身份认证为银行网站。
第四个话题介绍了零信浏览器的国密SM2算法和国密SM2 SSL证书的支持,笔者希望CA/浏览器论坛能有机会讨论把SM2算法列入到SSL证书基线标准中,这样才能获得所有浏览器的支持,才能使得已经成为国际标准的SM2/SM3/SM4算法真正成为一个可普及使用的标准,用户就可以在RSA/ECC/SM2算法中自由选择为网站部署何种算法的SSL证书,就不用像现在一样需要部署两张不同算法的SSL证书了,笔者将不断持续发力推动这件事能早日实现。