boke112 导航自从升级到 HTTPS 一直都是在使用免费的Let’s Encrypt 证书,虽然是 3 个月签发一次,但是服务器自动签发也挺好的。在谷歌 Chrome 浏览器中也一直显示很正常,但是最近有站长提醒说在 360 安全浏览器打开 boke112 导航显示“该网站根证书不在 360 根证书计划内,未来可能不被 360 浏览器信任”,具体见下图:
点击提示中的“了解详情”后才知道 360 浏览器搞了一个所谓的“根证书计划”,说是为了增强 360 对那些证书问题的应对能力,可以通过提高问题处理的效率、缩短风险周期,有效识别出网站证书是由具体 CA 机构签发的真实性,进一步帮助用户识别可信安全证书,360 决定创建自己的根证书计划。360 有权移除任何证书。360 浏览器根证书计划主要适用于 360 浏览器。360 信任的根证书列表如下表所示:
机构 |
根证书 |
有效期 |
Actalis |
Actalis Authentication Root CA |
2011/9/22-2030/9/22 |
AffirmTrust |
Affirmtrust Commercial |
2010/1/29-2030/12/31 |
|
Affirmtrust Networking |
2010/1/29-2040/12/31 |
|
Affirmtrust Premium |
2000/5/13-2025/5/13 |
|
Affirmtrust Premium ECC |
2010/1/29-2040/12/31 |
Certum |
Certum Trusted Network CA |
2008/10/22-2029/12/31 |
DigiCert |
Baltimore CyberTrust Root |
2000/5/13-2025/5/13 |
|
Cybertrust Global Root |
2006/12/15-2021/12/15 |
|
DigiCert AssuredID Root CA |
2006/11/10-2031/11/10 |
|
DigiCert AssuredID Root G2 |
2013/8/1-2038/1/15 |
|
DigiCert AssuredID Root G3 |
2013/8/1-2038/1/15 |
|
DigiCert Global Root CA |
2013/8/1-2038/1/15 |
|
DigiCert Global Root G2 |
2013/8/1-2038/1/15 |
|
DigiCert Global Root G3 |
2013/8/1-2038/1/15 |
|
DigiCert HighAssurance EV Root CA |
2006/11/10-2031/11/10 |
|
DigiCert Trusted Root G4 |
2013/8/1-2038/1/15 |
|
Verizon GlobalRoot CA |
2009/7/30-2034/7/30 |
Entrust |
Entrust.net Certification Authority (2048) |
1999/12/25-2029/7/24 |
|
Entrust Root Certification Authority-EC1 |
2012/12/18-2037/12/18 |
|
Entrust Root Certification Authority-G2 |
2009/7/8-2030/12/8 |
|
Entrust Root Certification Authority-G4 |
2015/5/27-2037/12/27 |
|
Entrust Root Certification Authority |
2006/11/28-2026/11/28 |
GDCA |
GDCA TrustAUTH E5 ROOT |
2016/3/23-2040/12/31 |
|
GDCA TrustAUTH R5 ROOT |
2014/11/26-2040/12/31 |
|
数安时代 R5 根 CA |
2016/3/31-2040/12/31 |
GlobalSign |
GlobalSign Root CA-R1 |
1998/9/1-2028/1/28 |
|
GlobalSign Root CA-R2 |
2006/12/15-2021/12/15 |
|
GlobalSign Root CA-R3 |
2009/3/18-2029/3/18 |
|
GlobalSign ECC Root CA-R4 |
2012/11/13-2038/1/19 |
|
GlobalSign Root CA-R5 |
2009/3/18-2029/3/18 |
|
GlobalSign Root CA-R6 |
2014/12/10-2034/12/10 |
Google Trusted Service LLC |
GTS Root R1 |
2016/6/22-2036/6/22 |
|
GTS Root R2 |
2016/6/22-2036/6/22 |
|
GTS Root R3 |
2016/6/22-2036/6/22 |
|
GTS Root R4 |
2016/6/22-2036/6/22 |
Sectigo |
Sectigo (AAA) |
2004/1/1-2029/1/1 |
|
Sectigo (AddTrust) |
2000/5/30-2020/5/30 |
|
Sectigo (CCA) |
2011/1/1-2031/1/1 |
|
Sectigo (formerly Comodo CA) ECC |
2008/3/6-2038/1/19 |
|
Sectigo (formerly Comodo CA) |
2010/1/19-2038/1/19 |
|
Sectigo ECC |
2010/2/1-2038/1/19 |
|
Sectigo |
2010/2/1-2038/1/19 |
SHECA(上海市数字证书认 |
UCA Extended Validation Root |
2015/3/13-2038/12/31 |
证中心有限公司) |
UCA Global G2 Root |
2016/3/11-2040/12/31 |
SSL.com |
SSL.com EV Root Certification Authority ECC |
2016/2/13-2041/2/13 |
|
SSL.com EV Root Certification Authority RSA R2 |
2017/6/1-2042/5/31 |
|
SSL.com Root Certification Authority ECC |
2016/2/13-2041/2/13 |
|
SSL.com Root Certification Authority RSA |
2016/2/13-2041/2/13 |
TrustWave |
Secure Global CA |
2006/11/8-2030/1/1 |
|
Secure Trust CA |
2006/11/8-2030/1/1 |
|
XRamp Global Certification Authority |
2004/11/2-2035/1/1 |
WISeKey |
OISTE WISeKey Global Root GB CA |
2014/12/1-2039/12/1 |
|
OISTE WISeKey Global Root GC CA |
2017/5/9-2042/5/9 |
Let’s Encrypt 证书并未在 360 的这个根证书列表中,根据 360 浏览器根证书认证流程,估计是需要 Let’s Encrypt 证书官方去申请才行。为了这个问题,早在今年 4 月中旬就有站长在 360 社区发帖说“为什么干这种阻碍互联网前进的蠢事? 人家 Let’s Encrypt 为了更安全的互联网免费提供证书!!!就因为人家提供了免费的泛域名证书你们就开始抵制吗?请问互联网的精神何在?何况 360 自己都是倡导的免费!”,详见『360 浏览器官方来给个解释,关于 Let’s Encrypt 证书!』。可惜 360 官方没有给出什么有力的答复。对于这种事情,我们普通站长能做的要么忽略 360,要么更换证书。
比较戏剧性的地方就是在 360 安全浏览器中打开 boke112 导航显示“该网站根证书不在 360 根证书计划内,未来可能不被 360 浏览器信任”,但是在 360 极速浏览器中打开 boke112 导航却显示一切正常。具体见下图:
为此,我还测试一些使用 Let’s Encrypt 证书的站点,比如月光博客、明月登楼的博客、ZBlog 官网等,同样是在 360 安全浏览器中提示 Let’s Encrypt 证书不在根证书计划内,但是在 360 极速浏览器中却显示正常,有点自己打自己嘴巴的感觉。
对于 360 不将 Let’s Encrypt 证书列入 360 根证书列表中,boke112 导航目前只能选择忽略,毕竟 360 浏览器市有率一般,而且只是有一个小叹号,估计影响不大。更何况这个 360 根证书主要适用于 360 浏览器,等哪天国内所有主流浏览器都这么干的时候再考虑更换 SSL 证书。