紫鸟浏览器通过Issuer/Subject一致性比对、X.509扩展字段缺失检测及RSA参数特征识别自签名证书;在“环境管理→安全策略→证书控制”中开关拦截,支持白名单、临时放行与批量导入同步。
紫鸟浏览器自签名证书识别机制
1、紫鸟浏览器在启动隔离环境时自动加载证书信任链校验模块,对当前会话中所有HTTPS连接所使用的服务器证书进行结构解析。
2、系统通过提取证书中的“Issuer”与“Subject”字段比对一致性,当二者完全相同时即判定为典型自签名特征,该过程不依赖外部CA列表更新。
3、浏览器内核嵌入了X.509标准扩展字段检测逻辑,若证书未包含CRL分发点、OCSP响应地址等权威签发必需项,则纳入待审自签名集合。
4、对于使用OpenSSL默认参数生成的4096位RSA自签名证书,紫鸟浏览器可依据公钥模长与签名算法组合特征实施快速归类标记。
证书筛选操作入口位置
1、进入紫鸟浏览器主界面后点击右上角齿轮图标打开“环境管理”面板,此处集中展示当前所有已配置的账号容器实例。
2、在任一容器右侧操作栏中选择“安全策略”,随后切换至“证书控制”子页,界面顶部显示“自签名证书过滤开关”滑块。
3、开启该开关后,浏览器将实时拦截含自签名标识的HTTPS资源加载,并在地址栏右侧显示黄色三角警示图标提示用户确认。
4、点击警示图标可展开详情浮层,其中列出本次页面涉及的所有自签名证书指纹、签发时间及关联域名,支持一键加入白名单或永久屏蔽。
白名单与临时放行设置
1、在证书详情浮层中点击“添加至可信列表”按钮后,系统会要求输入当前容器管理员密码进行二次验证,确保策略变更权限可控。
2、成功加入白名单的自签名证书会被写入该容器专属的本地信任库,其SHA-256指纹与绑定域名共同构成唯一匹配规则,其他域名不可复用。
3、若仅需单次访问绕过限制,可点击“本次忽略”选项,浏览器将生成一次性会话级豁免令牌,该令牌在关闭当前标签页后自动失效。
4、所有白名单条目均按时间倒序排列于“证书控制”页底部区域,每条记录旁附有“编辑备注”与“移出列表”快捷操作按钮。
批量导入与策略同步功能
1、支持从本地上传PEM或DER格式证书文件,上传后系统自动解析并判断是否属于自签名类型,非自签名证书将被跳过不参与筛选流程。
2、导入过程中可勾选“同步至全部同名容器”选项,使同一组业务账号共享相同的自签名证书处置策略,避免逐个重复配置。
3、导出功能允许将当前容器的全部自签名处理记录打包为加密JSON文件,文件内含证书指纹、操作类型、执行时间及操作人ID等完整审计字段。
4、当多个成员共用同一套紫鸟浏览器部署环境时,管理员可在“团队策略中心”中设定全局自签名证书默认处置方式,包括静默拦截、弹窗提醒或强制跳转至策略说明页。
风险操作截图留存逻辑
1、每当用户手动放行某张自签名证书时,紫鸟浏览器立即触发事中监管截图机制,完整捕获当前页面URL、证书警告弹窗、用户点击动作及时间戳信息。
2、截图与对应证书的公钥哈希值、TLS握手版本、SNI域名等元数据绑定存储,形成不可篡改的操作证据链,保存周期默认为180天。
3、在“监管记录”时间轴视图中,所有涉及自签名证书的操作均以橙色标签高亮标注,支持按日期、容器名称、操作类型进行多维筛选定位。
4、截图缩略图下方显示证书颁发者原始字符串及是否启用HSTS预加载标志,便于安全人员快速识别是否存在伪装成知名机构的伪造自签名行为。
