苹果、谷歌、Mozilla(火狐)、Opera,你们害怕什么呢?
2023年1月28日
1月31日更新:
笔者发邮件给投“No”的CA—SwissSign, 该公司的信息安全经理的回复让我大跌眼镜!
“与所有相关利益相关者在内部讨论了对这次投票投“反对”票的决定,这是一场激烈而密切的讨论。 最终,我们的决定得以达成并发布,这是基于 SwissSign 不相信在可预见的将来会在中国开展业务这一事实。” [The decision to vote „no” on this ballot was discussed internally with all relevant stakeholders and it was an intense and close discussion. In the end our decision was reached and communicated also in light of the fact that SwissSign does not believe to do business in China in the recognizable future.]
这也是理由?投票应该依据CA/浏览器论坛的章程对成员的资格要求来判断是否够资格,而这家CA居然是依据自己的利益来投票!这是西方所标榜的“尊重规则”和“契约精神”?!
不仅从法理上说不过去,而且这位经理根本就不懂CA业务,你公司不在中国开展业务,并不等于你的客户不在中国开展业务哦!如果零信浏览器不信任你的根证书,那么你的客户的网站将全部显示为”不安全”,这可不是你的公司是否在中国开展业务的事情那么简单哦!
还有:某个浏览器投“反对”票是因为他的领导要求他这样投,这不是“尊重规则”,而是“尊重领导”,感觉东西方的文化现在是完全反过来了!
零信浏览器一定会在下一个发布的版本有对等反制行动,请拭目以待。
零信浏览器自去年6月1日发布公测版以来已经有超过100个国家和地区的用户下载使用,既然这么受欢迎,笔者决定申请成为国际标准组织--CA/浏览器论坛(CA/Browser Forum)的证书使用者(应用软件提供商)成员。于是,笔者代表公司于2022年11月24日提交了入会申请,12月9日电话会议讨论没有通过,有一个会员称需要更多的时间评估。2023年1月6日电话会议再次讨论我们的申请,但是有会员反对,按照章程就需要公开投票。1月6日由 ISRG / Let's Encrypt 的 Aaron Gable 发起投票,并得到 Opera 的 Tobias Josefowitz 和 DigiCert 的 Tim Hollebeek 的背书,确定了讨论期为两周(1月6日3点—1月20日3点)(本文所指时间都是中国时间)。1月21日就进入了为其7日的投票期(1月21日7点—1月28日7点),刚好是中国农历新年7天假期,有点巧合哦。
今天早上7点投票结束后的统计结果是fail(失败),原因是四大浏览器厂商:苹果、谷歌、Mozilla(火狐)和Opera投了反对票。这个结果是笔者已经预料到的,投票的好处是公开透明,能让申请人明白知道谁在反对。笔者不禁要问:苹果、谷歌、Mozilla(火狐)、Opera,你们害怕什么呢?是害怕一个来自中国的浏览器厂商拥有在国际标准组织的投票权和话语权吗?
由于浏览器在CA/浏览器论坛是强势地位,所以,在零信浏览器之前其他浏览器的申请加入都非常容易,只要提出申请,第一次会议讨论就会通过。但是,来自中国的零信浏览器第一次讨论没有通过,第二次讨论没有通过,只好依据章程发起投票,但是,仍然没有通过,因为至少需要目前的一个浏览器成员投同意票,但是可惜没有!笔者不禁要再问:苹果、谷歌、Mozilla(火狐)、Opera,你们到底害怕什么呢?能公开回应一下你们为何投反对票吗?
零信浏览器申请的是 CA/浏览器论坛 的证书使用者成员,也就是浏览器这一边的成员,希望成为像苹果、谷歌、Mozilla、Opera、微软一样拥有制定CA国际标准投票权的成员单位,因为目前的 CA/浏览器论坛 没有一个懂CA业务和理解CA需求的浏览器成员,没有一个对CA友好的浏览器成员,这导致了这个国际组织严重的不平等,CA在这个组织中处于严重弱势地位,这不利于这个国际组织的健康发展。
笔者在这里分享几个投票过程中的内幕消息。
- 某个浏览器投反对票后,我就私信投票人:能告诉我贵浏览器投反对票的理由吗?因为我同这个投票人很熟,毕竟笔者以CA成员身份参加了11次CA/浏览器论坛面对面工作会议,并且在北京承办2014年秋季工作会议时特意招待所有与会代表游玩故宫和长城,所以他比较友好地告诉我“这是公司领导要求他投反对票的”。而问了另一个并不熟悉的浏览器投票人就没有回复我的邮件。
- 某个投弃权票的CA在投票时说:会员投票的目的是为了讨论和澄清申请单位是否满足会员标准。 我们发现:很遗憾,没有进行实质性讨论,并且 CA 和浏览器似乎在这个重要问题上存在分歧,并且认为如果申请被拒绝,重要的是提供适当的推理和理由作为公共记录的一部分。
- 另一位投弃权票的 CA 在投票时说:我们同意“上面CA”的观点,很遗憾没有就此事进行实质性讨论。特别是,我们非常有兴趣了解投“反对”票背后的原因。[笔者注:这也是笔者想了解的]
- 还有一个投弃权票的CA在投票时说:我们认为来自不同的司法管辖区(不同的国家)和不同大小的CA 的组合在CA成员中是很成功的组合,对于浏览器的成员也理应如此……但我们没有感觉到有足够的信心会如此,所以无法做出正面的或负面的投票。[笔者注:CA成员中中国有6家]
- 其他投赞成票的CA的意见都是:根据服务器证书工作组(SCWG)章程,似乎没有任何理由拒绝该申请。
最后,笔者再分享一下在1月6日进入投票讨论期发送的拉票邮件吧,请大家一定要看看第三个应该投赞成票的理由。
原英文邮件的中文翻译
尊敬的Dean(论坛主席)和各成员单位,
非常感谢您为我公司的成员申请所做的努力。
我希望成为会员,因为自从我在 2013 年加入这个组织就一直深爱CABF,这是世界上最好的国际组织,每个成员都努力工作,尽最大努力使全球互联网更安全。
所以,我诚挚地邀请您投“赞成”票,谢谢。
支持我们的理由如下:
(1) 零信浏览器是唯一保留EV SSL证书绿色地址栏的浏览器,这是第一个特点。当我决定研发浏览器时,我就知道所有 CA 一定会喜欢它。 大家可以从下面这篇来自PKI联盟博客的文章体会到这份喜爱:https://pkic.org/2019/08/27/why-are-you-removing-website-identity-google-and-mozilla/ 作者:Kirk Hall (Entrust), Tim Callan (Sectigo)。 我们认为:网站身份与加密一样重要。
我们认为:互联网用户应该有选择爱和不爱EV绿色地址栏的自由,但目前的情况是没有选择,这不好。
投票给零信浏览器就是投票给选择权!
(2) 零信浏览器认为:网站安全不仅仅是加密,不仅仅是身份,更需要安全防护。 这就是我们在地址栏中显示 云WAF 防护标识 (F) 的原因。 这也是目前所有浏览器中独一无二的特点。
我们认为:互联网用户应该有权知道他们正在访问的网站是否有安全防护,这样才能让用户放心上网。
投票给零信浏览器就是投票给知情权!
(3) 零信浏览器是唯一支持中国密码算法SM2 SSL证书和SM2证书透明的浏览器,SM2算法支持是中国生产的浏览器必须遵守的符合《中国密码法》的要求。所有使用 SM2 SSL 证书进行 https 加密的网站在零信浏览器地址栏中都会显示特殊标识( 
)。
我们认为:未来所有浏览器都将支持 SM2 算法,因为它不仅在中国市场需要,而且也是 ISO/IEC 认可的算法。CA/浏览器论坛需要一个支持SM2算法的浏览器成员,一个支持SM2算法的浏览器供全球互联网用户选择和试用SM2算法。
投票给零信浏览器就是投票给未来!
谢谢您的厚爱!新年快乐!
最好的祝福,
王高华(Richard Wang)
零信浏览器总架构师
首席执行官兼首席技术官
零信技术(深圳)有限公司
原英文邮件
有诗为证:
制定标准有论坛,零信申请为成员。
投票未能获通过,苹果谷歌等反对。
反对理由很荒唐,规则契约皆丢弃。
特发博文问一声,四大巨头怕什么?
