完全免费的国密浏览器应该是国产操作系统的默认配置
2023年6月1日
今天是零信浏览器发布一周年纪念日,笔者作为一个从CA行业转行到浏览器的新秀,通过这一年时间的浏览器研发和市场研究,有一些心得体会,特撰文分享,希望对CA、浏览器和国产操作系统从业者都能有所启发,毕竟浏览器是一个深度集成CA证书的产品。在分享体会之前,我们还是先回顾一下浏览器的发展史,因为古话说得好--“以史为鉴,可知兴替”。
最早可以称之为浏览器的是Mosaic,于1992年底由伊利诺伊大学香槟分校的国家超级计算应用中心(NCSA)开发,1993年1月23日发布了alpha/beta 版本0.5,1993年4月22日发布了1.0版本,1997年1月7 日正式停止开发和支持。
开发 Mosaic 的团队负责人 Marc Andreessen 在1993年大学毕业后离开了NCSA,并与 Silicon Graphics (SGI) 的创始人之一James H. Clark以及伊利诺伊大学的其他四名前学生和教职员工一起创立了 Netscape Communication公司,于1994年10月发布了名为 Netscape Navigator的浏览器,12月上线正式版本,这是一个收费的软件。Netscape Navigator浏览器于2008年3月1日停止支持,这当然与微软推出完全免费的IE浏览器有关,但笔者认为其失败的关键还是商业模式,不知道读者朋友是否知道Netscape有一个伟大的发明是SSL协议,并把此协议集成到了其浏览器中,实现了现在所有浏览器都支持的https加密。如果Netscape公司当时浏览器完全免费,并且同时提供收费的CA业务--签发SSL证书,也许就没有后来的VeriSign和GeoTrust了,可惜历史没有如果。
微软于1994年底获得了Spyglass Mosaic许可,于1995年4月发布了Internet Explorer 1.0版本,并在随后的版本集成到Window 3.1、Windows NT 、Windows 95、Windows 98、Windows XP、Windows 7、Windows 8等各种Windows版本中,2003年拥有高达95%的市场份额。但是,这个服务了用户27年的IE浏览器已于2022年6月15日同全球互联网用户正式说拜拜了。
后来其他浏览器的崛起就不在此啰嗦了,全球前四大浏览器市场份额分别为谷歌浏览器63.45%、苹果浏览器20.48%、微软Edge浏览器4.97%、火狐浏览器2.76%,合计91.66%。也就是说,其他所有浏览器市场份额仅为8.34%。
综观浏览器的发展史可以看出:浏览器是从一个像传统软件产品一样的收费产品变成了集成到操作系统中的完全免费的软件产品,再到现在的谷歌浏览器作为支持所有操作系统的一个独立软件而一枝独秀,经历了多次波峰和波谷的多家厂商的生与死考验,其发展过程非常值得我国正在兴起的国产国密浏览器和国产操作系统的产业相关者思考和借鉴,理清国产浏览器和国产操作系统的发展思路和发展方向非常重要,笔者主要在此分享以下三点思考。
第一、 浏览器就应该是完全免费的,这是全球互联网用户的共识和常识。
大家都知道,全球市场占有率合计高达92%的四大浏览器都是完全免费的,但是很神奇的是,支持国密算法和国密SSL证书的国密浏览器却是收费软件,这是否标志是国密浏览器也才刚刚出道呢?就像Netscape浏览器刚刚出道时一样。
国密浏览器的卖点当然是目前非常急迫的国密改造项目,但是,笔者认为:收费的国密浏览器是与我国的相关政策—“普及国密SSL证书实现国密https加密”背道而驰的畸形市场行为,不低的收费使得目前非常艰难的国密改造变得更加艰难,这非常不利于普及商用密码来保障我国互联网的安全!零信浏览器在一年前的今天的发布就是要改变这个畸形的市场行为,做一个永久免费的干净没有广告的国密浏览器,为普及国密SSL证书的应用做贡献。我们始终坚信:只要我们专注于用户,其他一切都会随之而来。零信浏览器在这一年来节节攀升的市场份额也已经印证了这一点,因为用户是非常明智的。要想普及商用密码算法来保障我国互联网安全,必须有完全免费的支持国密算法和国密SSL证书的通用浏览器,因为浏览器是上网的入口!
第二、 国产操作系统应该为用户默认配置免费的国密浏览器。
笔者在测试即将面世的零信浏览器国产操作系统版本时发现,主流的几家国产操作系统居然没有为用户配置免费的国密浏览器,这是不可思议的事情。国产操作系统的主要市场是需要国密合规的用户,这些用户都是关键信息基础设施运营单位,各种系统选择国产操作系统的目的是信创合规、密评过关和密保合规,但是作为密评过关和密保合规的关键软件之一的国密浏览器居然不是国产操作系统的默认配置,这视乎不符合常理。
直到笔者在新安装某个国产操作系统时发现可选安装收费的能试用90天的国密浏览器,这才明白又回到了第一个问题,一个非常短视的市场行为。明明市场上有完全免费的国密浏览器—零信浏览器,为何这些国产操作系统不给用户默认配置安装使用?这也是笔者撰文的目的之一,希望能多多宣传零信浏览器,尽快成为国产操作系统的默认国密浏览器,因为国产操作系统的用户需要完全免费的、操作系统自带的国产国密浏览器,这也是微软Windows操作系统为何投资获得Mosaic软件许可并使得免费的浏览器为默认配置的原因,这非常值得国产操作系统厂商借鉴。零信浏览器在过去的一年得到全球122个国家和地区的用户的喜爱,而不仅仅是我国互联网用户,因为零信浏览器是全球唯一一个展示EV SSL证书为绿色地址栏和网站身份信息的、同时注重加密和可信身份的、基于Chromium内核的通用浏览器。
第三、 国密浏览器必须具有四个基本功能,才能满足国密HTTPS加密的应用需求。
笔者有将近20年的CA运营和研发经验,并且连续十多年多次参加了国际组织--CA/浏览器论坛的工作会议,深刻理解和了解四大浏览器对SSL证书的核心支持。笔者认为:国密浏览器必须具备如下四大基本功能,否则不配称之为国密浏览器。
- 必须默认优先采用国密算法实现国密https加密,而不能是需要用户勾选国密加密功能才支持国密加密。这就要求浏览器从底层支持国密算法作为加密套件,使得国密算法可以像国际算法一样由浏览器同Web服务器握手时协商加密算法,并自动实现优先采用国密算法。
- 必须有国密根证书信任列表,浏览器只能信任经过严格认证和测试的国密根证书,而不能只要是网站部署了国密SSL证书都显示加密锁标志,这样就给欺诈和假冒网站打开了信任之门,非常危险。
- 必须支持验证证书吊销列表,实时验证国密SSL证书是否被吊销,这一点非常重要,是所有浏览器的基本安全功能。但是笔者发现有国密浏览器根本不验证证书吊销列表,这非常不安全!
- 浏览器的根证书信任列表只是SSL证书信任验证之一,所有浏览器都支持证书透明来验证CA签发的国际SSL证书是否已经透明公示,以杜绝恶意签发SSL证书用于攻击的行为。所以,为了保障我国部署国密SSL证书的网站安全,国密浏览器也必须支持国密证书透明验证,不仅验证国密SSL证书是否可信,而且还需要验证这张国密SSL证书是否已经透明公示,以保障国密SSL证书的自身安全,从而真正实现国密SSL证书保障我国网站安全。
总之,我国需要国产操作系统,同时也需要国产国密浏览器,需要国密SSL证书实现国密HTTPS加密,当然更需要所有国产操作系统默认配置完全免费的国密浏览器,默认采用国密算法实现国密https加密,这才是珠联璧合的信息技术应用生态创新,全面采用商用密码来保障我国互联网安全,保障我国关键信息基础设施安全。
有诗为证:
操作系统国产化,信息产业夯地基。
默认配置浏览器,商密支持守底线。
免费国密浏览器,普及国密的关键。
透明干净且免费,唯有零信浏览器。
