360 内置的特殊 SM2 根证书，大家有什么看法吗？而且 360 浏览器的证书好像也有些奇怪，有了解设备上的内置证书运作机制的吗？

SM2 是国密系列证书

@10467106 比较好奇，这些证书是国产浏览器都会存在的吗？还是只有 360 存在？

支持不是更好吗,以后政企事业单位都用国密证书,对用户，对网站都好吧

@liuidetmks 对政企用户来说，这些证书是很有必要的，而且确实方便了他们使用…但是这些证书的可信性，会不会导致不登陆政企网站的普通用户，有必要重新思考，是否需要使用它…而且我不清楚，其他国产浏览器是否也内置了国密证书？

估计是政企相关招投标有要求

@tiny1994095 #2 #2 不是，国密现在只有少数几个浏览器支持，除了 360 以外还有密信。但以后应该会大规模推广的。

想问就直接问，无非就是 sm2 的安全性和 ca 是否可靠这俩问题，有什么不敢问的呢？

银行登录控件不就是用的 sm2 加密的吗，国内国企加密需求一般都是用这个

@wangyu17455 帖子描述里头有问，是谁在维护应用需要内置的证书，以及变更的信息如何获取。这个我还没有找到相关的信息，没有所谓的权威机构维护这个信息吗？或者说只有各个公司在自己维护自己的？

@cslive 这个情况是了解的，不过我觉得不用它的用户还是占多数吧，银行的安全控件也需要用户手动安装。只不过安装了控件，就会在系统开启 sm2 加密吗？

- [catbro666.github.io]( https://catbro666.github.io/)
- [一篇文章搞懂密码学基础及 SSL/TLS 协议]( https://catbro666.github.io/posts/e92ef4b4/index.html)
- [SSL 及 GMVPN 握手协议详解]( https://catbro666.github.io/posts/59c71edb/)

- [Jupiterliu.github.io]( https://github.com/Jupiterliu/Jupiterliu.github.io/)
- [国密算法 /协议 /工控]( https://github.com/Jupiterliu/Jupiterliu.github.io/blob/5aff3927cc3cf5919b9a66be51b0a1cdf4a935b7/2021/04/28/%E5%9B%BD%E5%AF%86%E7%AE%97%E6%B3%95-%E5%8D%8F%E8%AE%AE-%E5%B7%A5%E6%8E%A7/index.html)

- [SOFAStack]( https://www.sofastack.tech)
- [RFC8998+BabaSSL---让国密驶向更远的星辰大海]( https://www.sofastack.tech/blog/rfc8998-babassllet-guomi-sail-to-a-farther-starry-sea/)
- [Tengine + BabaSSL ，让国密更易用]( https://www.sofastack.tech/tengine-babassl-making-state-secrets-easier-to-use/)

360 安全浏览器国密相关开发人员来了。
针对楼主的疑问，回复如下：
1：360 浏览器会针对国密根证书的 CA 机构进行资质审核，类似于 chrome 根证书计划对 globalsign 等 CA 机构的审核。详见： https://caprogram.360.cn/smplan.html
2：根证书目的是建立一个信任锚点，没有信任的根，就无法建立信任链信任网站证书。内置了根证书（或者用户手动导入了根证书，才可以建立信任链，完成对网站证书的校验）。
3：如果网站未部署 sm2 国密证书，则不会使用国密证书对这个网站进行校验，也就是国密根证书对于未部署国密证书的网站无影响。
4：目前，国家几家国密浏览器都会内置国密根证书或者提供导入国密根证书的入口。
5：目前 360 浏览器在自己维护 360 的国密根证书计划，未来，在上级主管部门的允许下，可能会出现联席组织负责对国密根证书的审核。
6：安装了安全控件并不会导致浏览器开启国密功能。安全控件的加密由安全控件实现，浏览器中国密根证书用于浏览器与国密网关 /服务器间建立国密协议通信过程中，客户端（浏览器）对服务端身份的验证。