浏览器是如何识别SSL证书类型的？
2023年8月8日

有用户反映，零信浏览器升级到114版本后原先97版本显示网站身份认证级别为T3的网站显示为T1，在浅绿色地址栏显示的单位名称也不见了，这是怎么回事？本文就讲一讲这个问题，这个问题与114版本无关，这是一个关于国密SSL证书类型如何定义和浏览器如何识别的问题，也是一个零信技术参与制定的相关国密标准中的待定的问题，笔者认为有必要好好讲一讲这个问题，以期不仅能解答用户的问题，而且还能给制定国密SSL证书标准中的证书类型讨论抛砖引玉，有利于业界达成共识。

如下左图所示，这是零信浏览器在内核升级之前显示北京银行个人网银页面，在浅绿色地址栏上显示绿色加密锁标识、绿色国密加密标识和绿色T3标识。右图为这次升级后显示的界面，这与内核版本升级没有任何关系，只是与这次升级改变了UI显示规则有关。这个由正常显示网站身份认证级别为“T3”的网站变成了显示为“T1”，并不是零信浏览器弄错了，而是由于这个网站部署的SSL证书没有正确的证书类型OID导致的。本文就详细讲一下证书类型OID。

SSL证书类型有4类：DV SSL、IV SSL、OV SSL和EV SSL，这是按照身份认证级别来定义的。其中，DV SSL证书只需验证域名控制权，IV SSL证书不仅需要验证域名控制权，而且还需要验证网站的个人身份；OV SSL证书不仅需要验证域名控制权，而且还需要验证网站的单位身份；EV SSL证书不仅需要验证域名控制权，而且还需要按照更严格的验证标准来扩展验证网站的单位身份。

零信技术依据这个分类给网站可信身份也一样定义了4个级别：T1、T2、T3和T4，T就是英文“Trust”的第一个字母，T1、T2、T3和T4分别对应DV SSL、IV SSL、OV SSL和EV SSL。也就是说，凡是部署了DV SSL证书的网站，浏览器地址栏会显示T1标识，如此类推，部署了IV/OV/EV SSL证书的网站会分别显示T2/T3/T4标识。上左图大家看到的北京银行网站的T3标识为何升级到114版本后就变成了上右图的T1标识了呢？这是本文要讲的重点。

所有国际SSL证书都会在SSL证书的“证书策略”字段包含这4个OID之一来证明这张SSL证书是什么类型的SSL证书。如下左图所示为零信官网部署的国际SSL证书的证书策略“Policy Identifier=2.23.140.1.2.1”，这就表明这张SSL证书是DV SSL证书，而右图为证签官网部署的国际SSL证书的证书策略“Policy Identifier=2.23.140.1.1”，这就表明这张SSL证书是EV SSL证书。

早期所有浏览器都对部署了EV SSL证书的网站显示为绿色地址栏就是依据EV SSL OID来判断的，而为了防止CA机构错误使用EV SSL类型OID，浏览器一般要求CA机构再提供一个EV SSL证书专用的从各CA自己的OID体系分配的OID，如上右图的第一个OID就是Sectigo的专用EV SSL OID，浏览器会另外预置管理一个能签发EV SSL证书的根证书列表。下图为IE浏览器显示的EV SSL证书效果。

虽然其他浏览器现在都已经放弃了EV SSL证书的绿色地址栏，但是零信浏览器认为EV绿色地址栏仍然是很有价值的，能让用户一眼就能识别出这个网站是一个高度可信的网站，因为其真实身份已经通过第三方可信CA机构的严格认证。所以，零信浏览器继续维持EV SSL证书的绿色地址栏，继续为证书中含有国际标准EV SSL证书OID的网站显示绿色地址栏。而其他类型的SSL证书也一样依据国际标准的证书类型OID来识别网站部署的SSL证书的类型，从而显示不同的UI，对于部署了DV SSL证书的网站，地址栏显示T1标识，而对于部署了EV SSL证书的网站地址栏显示为T4标识。

谷歌浏览器虽然放弃了EV绿色地址栏，但是仍然保留了对部署了EV SSL证书的网站在“证书有效”标识下显示这张SSL证书绑定的单位名称（证书主题O字段）。

回到用户的问题，北京银行部署的国密SSL证书中“证书策略”中并没有上面所展示的4个OID之一，如下左图所示，所以，零信浏览器由于无法识别证书类型而只能显示为“T1”标志，因为这张SSL证书之所以能签发，一定是已经完成了域名控制权验证，一定满足显示T1标识的要求。用户一定会问：既然没有所要求的OID，那为何97版本能显示为“T3”标识呢？请看下右图，这张SSL证书的主题信息中有O字段，97版本就是依据这张SSL证书有O字段就在地址栏显示T3标识和显示O字段的单位名称，这是97版本当时在发现几乎所有国密SSL证书都没有证书类型OID后做出的妥协方案，而这次升级到114版本后，零信浏览器调整了UI方案，严格依据国际标准来展示网站部署的SSL证书类型，所以，新版本浏览器就因为找不到证书类型OID而显示为“T1”标识。

也许专业用户或者签发CA会反问：为何我们签发的国密SSL证书类型必须有国际SSL证书类型OID呢？我们就是喜欢用自己的OID，浏览器是否可以依据我们自己的OID来识别出正确的证书类型呢？这些都是好问题。零信浏览器在发布 可信根证书认证计划 时就已经明确告知各CA，零信浏览器已经免费为国密SSL证书类型定义了4个OID，所有CA机构都可以免费使用这4个OID来定义自己签发的国密SSL证书类型。

也就是说，零信浏览器会依据4个国际标准证书类型OID和4个零信浏览器证书类型OID来判断SSL证书的类型，如果SSL证书的证书策略含有OID: 1.2.156.157933.14 或者 2.23.140.1.1，则零信浏览器就知道这张SSL证书是EV SSL证书，就会显示T4标识，如下左图所示，这张国密SSL证书中“证书策略”有“Policy ID: 2.23.140.1.1”，零信浏览器就会显示T4标识。如下右图所示，这张国密SSL证书中“证书策略”有“Policy ID: 1.2.156.157933.14”，零信浏览器也会显示T4标识。

零信云SSL服务系统签发的国密SSL证书都只包含零信浏览器定义的4个国密SSL证书类型OID，不会包含国际SSL证书类型OID，这是因为 CA/浏览器论坛官网 发布国际OID页面明确指出了这些国际OID的适用范围，如EV SSL证书OID的定义：extended-validation(1) — 2.23.140.1.1 (Certificate issued in compliance with the Extended Validation Guidelines) (适用于遵循扩展验证指南标准签发的SSL证书)。而所有国密SSL证书只是参考了国际标准，并没有完全遵循EV国际标准，密码算法就不符合EV国际标准，所以，按照以上定义是不能使用这些国际OID来定义国密EV SSL证书。这就是零信技术在讨论制定国密SSL证书标准时提出“必须制定国密SSL证书的证书类型OID”提议的依据。而在国密SSL证书类型没有国密标准OID之前，零信技术免费提供了4个国密SSL证书类型OID供各个国密CA机构免费使用。

零信浏览器目前采用的政策是兼容国际证书类型OID，无论国密SSL证书中含有国际SSL证书类型OID还是零信浏览器制定的国密SSL证书类型OID，零信浏览器都能正确显示国密SSL证书类型，其他非这两类OID都不被正确识别而导致证书类型显示为T1标识。零信浏览器无法识别每个CA自定义的证书类型OID。

细心的读者可能还会问：零信官网部署的国际SSL证书的证书策略“Policy Identifier=2.23.140.1.2.1”，是DV SSL证书，为何零信浏览器会显示T4标识？同样，为何中国政府官网部署的是OV SSL证书，为何零信浏览器会显示T4标识？

这也是零信浏览器的创新之一—网站可信认证服务。鉴于全球83%的网站部署的是未验证网站身份的DV SSL证书，为了解决这些网站的可信身份缺失问题，零信技术推出了 网站可信认证服务，由零信技术来完成网站的可信身份认证，通过EV认证的网站无论网站部署的SSL证书是没有身份信息的DV SSL证书还是通过单位认证的OV SSL证书，零信浏览器都会显示“T4”标识和绿色地址栏，显示效果等同于网站部署了EV SSL证书。上图显示“T4”标识的网站已经通过零信技术的EV认证，所以会显示“T4”标识。

相信通过上面的讲解，大家应该能理解为何升级后的零信浏览器会把原先显示为“T3”标识的网站显示为“T1”标识。笔者在这里提醒各个零信浏览器信任的国密CA机构尽快升级CA系统，在签发的国密SSL证书中增加零信浏览器定义的4个SSL证书类型OID，或者添加国际SSL证书类型OID，以便零信浏览器能正确识别各家CA签发的国密SSL证书类型，正确显示网站可信认证标识。

欢迎用户申请零信网站可信认证服务，网站仍然可以部署免费的或便宜的DV SSL证书，通过零信网站可信认证后，零信浏览器会显示“T4”标识、绿色地址栏和单位名称。网站安全同时需要https加密和可信身份，能有效提升网站访问者信心，从而促成更多的在线交易。

有诗为证：