我国做好SSL证书“断供”的准备了吗?2022年11月4日

今年2月24日发生了俄乌冲突,大量俄罗斯政府网站和银行网站的RSA 算法SSL证书被吊销或断供。3月3日Sectigo停止签发证书,3月12日DigiCert停止签发证书,其他CA也纷纷停止签发证书,停止签发证书就是“断供”,就是网站无法实现https加密了!同时,从2月27日开始,Sectigo开始吊销已经签发的SSL证书,13天内共吊销1576张证书,DigiCert 2月28日开始,共吊销了1266张证书。吊销证书就是禁用!以前已经签发给你的证书禁止使用!断供只是不再供货,而吊销则是即使供了货也不让用!

证书吊销 证书签发

下图为笔者在2019年8月20日的 第七届互联网安全大会 的演讲的一页,当时笔者就提出了我国必须做好SSL证书“断供”的准备的观点。当时就有人说这不可能发生,但是现在真实地发生在俄罗斯!这不得不值得我们深思和警醒!

第七届互联网安全大会

俄乌冲突给我国的安全启示是方方面面的,而在互联网安全特别是网站安全方面,RSA 算法SSL证书被吊销或断供,这给我国互联网安全,特别是关键信息基础设施安全敲响了警钟,我国必须快速进入国密HTTPS加密时代,以应对非常不确定的国际形势,保障我国互联网安全。

普及国密HTTPS加密不仅仅是应对国际形势的需要,而且也是《密码法》和《网站安全法》合规的需要,也许有读者认为现在的网站安全国密应用生态还不成熟,无法满足普及国密HTTPS加密的应用需求,本文就专门讲一讲这个错误认识问题。

要实现HTTPS加密,必须有CA签发SSL证书,并且必须支持证书透明,必须有浏览器信任签发SSL证书的根证书,有Web服务器支持签发这张SSL证书采用的加密算法,还必须有支持这种加密算法的浏览器可以用HTTPS加密协议实现安全的网页访问。也就是说,只有浏览器(包括移动App)、SSL证书和Web服务器都支持国密算法,才能实现国密HTTPS加密。当然,还需要CDN和云WAF服务提供商也支持国密SSL证书和国密算法。必须是整个Web生态都支持国密算法。笔者明确地告诉大家,这个国密https加密生态现在已经成熟了,是时候普及国密HTTPS加密了!

请大家看看笔者列出的支持国密SSL证书和国密算法的各个生态产品厂商清单,相信广大读者应该能明智地认为我的观点是正确的--国密https加密生态已经成熟了,是时候普及国密HTTPS加密了!

  • 能签发国密SSL证书的厂商:证签技术、零信技术、数安时代、亚数信息、上海CA、中金认证、天威诚信、沃通CA、陕西CA、网证通、贵州CA、四川CA等。
  • 支持国密算法和国密SSL证书的浏览器:零信浏览器、密信浏览器、奇安信浏览器、360浏览器、红莲花浏览器等。推荐大家使用完全免费的零信浏览器。
  • 支持国密算法和国密SSL证书的Web服务器:Nginx +国密模块,对于采用其他服务器软件的网站,可以部署Nginx作为前置代理机实现支持国密HTTPS加密。零信技术免费提供Nginx国密支持模块,一键重新编译即可。
  • 支持国密算法和国密SSL证书的证书透明日志系统:零信国密证书透明日志系统,此日志系统已经预置零信浏览器,实时检查每张国密SSL证书是否已经证书透明。
  • 支持国密算法和国密SSL证书的CDN和WAF服务:阿里云、网宿
  • 支持国密算法和国密SSL证书的移动App国密通信组件:中金认证
  • 其他支持国密算法的产品和厂商还有许多,不再一一列举。。。。。。

对于国密https加密,考虑到用户体验,网站不能要求用户指定使用国密浏览器来访问,所以,最佳方案是网站部署双SSL证书(一张国密SSL证书和一张国际SSL证书),目前市场上的国密浏览器都是支持双证书自适应加密的,零信浏览器优先采用国密算法实现HTTPS加密,只有在网站没有部署国密SSL证书的情况下才使用RSA算法实现HTTPS加密。 为了让大家能体验双SSL证书部署是什么效果,我们部署了测试网站:https://sm2test.cersign.cn,请读者分别使用零信浏览器和其他浏览器访问这个国密https加密测试网站,会看到零信浏览器优先使用国密加密,并在地址栏显示国密加密标识 m 。用户可以在此网站下载完全免费的Nginx国密模块,只需重新编译Nginx就可以支持国密SSL证书和国密算法。同时,读者还可以申请完全免费的90天有效期的免费国密SSL证书用于体验双证书部署的奥妙!

国密证书透明日志系统

鉴于国密改造涉及面非常广和难度大,零信技术联合阿里云创新打造了零改造的国密https加密云服务--零信网站安全云服务,无需向CA申请国密SSL证书和国际SSL证书,无需在服务器上安装SSL证书,无需改造web服务器,只需做3次域名解析,把原网站变成CDN的源站就可以10分钟内实现国密HTTPS加密,而提供CDN+WAF服务的是业界领先的阿里云,零信技术基于阿里云CDN提供的API为用户全自动配置国密SSL证书和国际SSL证书到阿里云CDN中,快速实现HTTPS加密的国密合规和全球信任,快速实现网站云WAF防护,快速实现高速内容分发。

国密证书透明日志系统

请读者分别使用零信浏览器和其他浏览器访问零信官网:https://www.zotrus.com,该网站就是一个零信网站安全云服务实现的国密https加密真实案例,用户使用零信浏览器访问会优先使用国密算法实现国密https加密,并在地址栏显示国密加密标识 m,还会看到地址栏有一个 waf 标识,表示此网站已经启用了云WAF防护,如下左图所示。如果用户使用其他不支持国密算法和国密证书透明的浏览器访问,则会采用ECC算法实现https加密,如下右图所示。

国密证书透明 WAF

相信大家从以上的国密生态厂商列表和零信技术的https加密解决方案可以看出,我国在国密https加密的技术和产品上已经准备好了!万事俱备,就差用户马上行动这一步了,必须马上行动起来,以确保所有网站在目前不确定的国际环境中的HTTPS加密安全可控,特别是政府网站和金融网站,确保即使国际SSL证书被“断供”或被“吊销”也不会影响用户正常访问网站系统。

最后,请大家看看两个真实部署的国密https加密案例,一个是省级政府官网,一个是中国银行的网银系统。

国密https 国密https
点击 这里 下载此文 (PDF格式,有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自证签CEO博客)