中国互联网需要数字证书自主可控(3)

比如说，360互联网安全中心在2017年就曾发现过一款名为“跑跑火神多功能辅助”的外挂软件中附带的劫持木马。

这款软件运行后加载木马驱动大肆劫持导航及电商网站，利用中间人攻击手法劫持HTTPS网站，同时还阻止杀内核级木马的专业工具运行，破坏杀软正常功能。直接引发用户在在支付时被盗。
另外一个问题在于，CA机构这些年来也没那么靠谱。
一般来讲，互联网行业之中，客户端信任的私钥握在CA公司手中，但这些年来，CA机构事故频发，任何个人或组织都可握有互联网域名的根服务器，这种体系之下，CA公司权力很大，既可以用一把锁维护安全，也可以私自配一把私钥威胁安全。
比如说，2017年出现的赛门铁克证书门，当时Google Chrome发现头部CA厂商Symantec（赛门铁克）错误签发3万张https证书，包括2015 年在Google 不知情下为Google 域名颁发了有效期一天的预签证书，Google 在2017年之后宣布从2018 年10 月23 日发布的Chrome 70 将停止信任赛门铁克的旧证书。
Mozilla 则是宣布它的测试版本Firefox Nightly 63 将停止信任赛门铁克签发的证书，用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla 建议网站所有者尽可能快的替换旧证书。
正式在这种情况下，360希望构建国内的类CA/B组织，保障国家证书安全。