中国SSL证书市场发展趋势分析简报-2022Q22022年7月1日
本次发布的是定期发布的今年第二季度分析报告,希望对我国SSL证书的产业发展和普及应用能起到积极推动作用,使得SSL证书能真正为保障我国电子政务系统和电子商务系统安全发挥最大的作用。本期报告增加了网站云WAF防护和网站安全体检评级等数据。
一、全球统计数据分析
根据谷歌证书透明日志系统数据统计,截止到 2022年6月30日,全球有效SSL证书有 7.8261亿 张,同4月1日的数据相比增长了 5.36%,其中只验证域名的DV SSL证书 6.5549亿 张,占比 83.76% 略有下降,这是连续两个季度在下降,说明用户开始认识到网站身份的重要,开始转向申请验证身份的OV SSL证书和EV SSL证书。验证网站身份的OV SSL证书有 1.2624亿 张,占比 16.13%,同上期相比上升了 1.03 个百分点。扩展验证网站身份的EV SSL证书 61.823万 张,占比 0.079%,同上期相比下降了 5.29%,两个季度持续下降,这个下降同多家浏览器不再显示EV SSL证书为绿色地址栏有紧密关系,希望零信浏览器的绿色地址栏的强势回归能对提升用户对EV SSL证书的购买信心起到促进作用。而DV SSL证书中,免费的Let’s Encrypt SSL证书占比69.37%,同上期相比下降0.27个百分点,这说明了什么,还需要观察下一个季度的数据才能做出正确的判断。当然,用户喜欢SSL证书的自动化部署的趋势仍然未变。
由于DV SSL证书中没有国家字段,所以笔者无法直接从证书透明日志数据库中获取DV SSL证书中有多少张证书是中国用户申请的,目前还没有精力把我国的IP地址编程扫描获得DV SSL证书的部署统计数据。所以,现在仍然只能比较SSL证书国家字段为CN的统计数据,也就是只能统计OV SSL证书和EV SSL证书的数据,笔者认为这两种证书的数据也能真实反映我国的SSL证书申请情况。
具体统计数据如下图所示,数字为SSL证书申请张数,以万为单位,排名第一的是美国,占全球的比例是 71.51%,第二是德国,占比 12.67%,第三位仍然是中国,占比 1.89%。同上期统计数据相比,美国下降了10.81%,德国增长了7.37%,中国增长了1.86%,全球排名前30个国家中有18个国家是负增长,这与这些国家的经济增长趋势是大致相同的,说明经济情况影响了用户的SSL证书购买力。但是Q2证书总量还是在增长的,说明了有些用户改用了便宜甚至免费的DV SSL证书。请注意,本期统计计算公式有改进,占比的基数已经剔除物联网用的OV SSL证书,其中包括CDN服务提供商Cloudflare的9171万张、微软云的1142万张、IdenTrust的162万张和思科的33万张。这个数据虽然没有被笔者纳入统计比较表中,但是从另一侧面说明了物联网设备的SSL证书部署在美国得到了飞速发展,这非常值得我国的物联网学习和借鉴,目前我国的物联网设备基本上都还是http明文传输,非常不安全,非常容易遭遇攻击而使得物联网数据被非法窃取,甚至让物联网设备瘫痪,必须引起相关方的高度重视,必须尽快普及应用SSL证书来保障物联网安全!
同上期数据相比,我国同前两名的美国和德国差距还很大,并且有微小的加大!当然,也一定能让有心人看到这里面的商机!如果我国的SSL证书申请量能到达德国的水平,则还会增长 6.7 倍!也就是说,我国SSL证书市场机会巨大,可以说这是一个正在快速增长的蓝海市场!
二、我国政府网站的统计数据分析
我国已经基本上实现了所有政务服务都上网办理的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的域名就能得到这个省的政府网站一共申请了多少张证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1544 张,比上期数据下降了 5.80%,这个下降趋势视乎同全球各国的下降趋势一致,有15个省市都同比下降的,其中北京市和宁夏下降幅度高达40%左右。排名前5位的是 浙江省、上海市、广东省、北京市、广西壮族自治区,广东省从第6位升到第3位,江西省从第10位升到第7位,海南省从第8位升到第6位,说明这几个省加强了密码合规建设和重视保护政务网站机密信息安全。
省政府官网启用国密SSL证书还是只有江西省和安徽省政府官网,继续特别表扬点赞。特别是安徽省政府官网,不仅采用了国密SSL加密保护,而且采用了云WAF防护,实现了国密合规、密保合规和等保合规。大家可以使用零信浏览器访问安徽省政府官网会显示4个不同安全标识,实现国密https加密、云WAF防护和可信身份认证等三位一体的网站安全防护,能有效保障政府网站的安全可信。
这就是为何本次统计增加了省政府官网是否有云WAF防护这一项,31个省市自治区中只有4个省政府网站有安全防护,这方面也还有很大的提升空间,因为一个网站的安全光有https加密是不够,还需要有云WAF防护。当然,我们无法知道这些网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计还增加一个“安全评级”项,这个评级数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
三、统计数据亮点和问题分析
同上次统计数据相比,这次的数据中有 19 个省政府网站启用了https加密,上次的数据是 18 个,增长了一个。第二亮点是有4个省政府网站和中央政府网站(www.gov.cn)启用了云WAF防护,能有效保障政府网站的安全,能有效解决政府网站被挂马、植入后门和网页被篡改等攻击问题,这也是等保合规的要求。根据Gartner的预测数据,未来两年70%网站都会采用云WAF防护,希望在下一季度的分析报告中能看到更多的省政府网站采用云WAF防护,有效保障电子政务系统的安全。
本期发现的问题之一是有多个省市政府网站部署的SSL证书中的O字段与政府官网的真实身份严重不符。SSL证书的主要功能是证明网站的身份,体现在证书中的O字段,如下图所示,这些省政府官网的SSL证书O字段基本上都是系统集成商的单位名称,这显然是不正确的,希望各个相关方能高度重视这些网站身份与证书身份不一致的“乌龙”事件的及时更正。
本期发现的问题之二是大量通配SSL证书的使用,一张通配证书可以用于省政府下属各个单位的子域名,的确是使用方便,并且省钱。但是,一个省政府各厅局委办有上千个子域名和上千甚至几千的网站,如果共用这一张SSL证书的话,一旦有一个网站被黑或各种原因导致证书私钥泄露,则不仅会影响到所有网站的正常运转,而且上千个网站需要重新一个一个的部署SSL证书,工作量和维护量巨大,这绝对是“丢西瓜捡芝麻”得不偿失的技术方案。正确的做法是“一机一证”,每台物理机或者虚拟机都必须有独立的一张SSL证书(独立私钥),不仅能保障密钥安全,而且能降低运维成本。
四、小结
从本次数据同上次统计数据相比可以看到:我国的OV SSL证书申请量有所上升,同时政府网站总的证书申请量也是增长的。同时,我们还发现已经有4个省政府和中央政府网站启用了云WAF防护,这有力提升政府网站的安全水平。但是,我们必须清醒地看到,我国在SSL证书应用和云WAF防护应用方面离欧美国家仍然有很大的差距,仍然需要继续努力迎头赶上。现在是几乎所有政务业务都要求上网办理,但是将近70%的网站还是没有部署SSL证书,则根本无法保证市民个人数据和企业商业数据的安全,并且这也已经严重违反了《密码法》、《网络安全法》、《数据安全法》和《个人信息保护法》等相关法律法规,必须引起有关部门的高度重视!
特别是俄乌冲突导致大量俄罗斯政府和银行等重要网站的SSL证书被吊销,这给我国互联网安全,特别是政府网站等关键信息基础设施安全敲响了警钟,我国关键信息基础设施网站都必须尽快实现国密SSL证书和国际 SSL证书的双证书部署,普及国密浏览器的使用,普及常用移动App的国密SSL证书支持,以应对和确保目前复杂的国际环境下的我国互联网安全。
今天是香港回归25周年纪念日,笔者认为:香港政府网站在SSL证书的部署方面特别值得大陆每个省和每个市政府网站学习,香港政府网站(*.gov.hk)的SSL证书申请量是 2084 张,远远超过大陆排名第一位的浙江省的264张(接近8倍多),而大陆31个省市自治区的所有政府网站(*.gov.cn)的SSL证书申请量的总和也只有 4248 张。这绝对不是政府网站建设经费不足的问题,是相关方对网站实现https加密来保护市民隐私信息安全的不重视,即使我国有多部法律要求必须这么做。
香港政府网站在保护政务信息安全方面主要有两点值得内地每个省市政府网站学习:第一:所有政府网站都部署SSL证书实现全站https加密,可敬的是香港政府并没有出台什么法律法规强制要求这么做。第二:绝大多数香港政府网站部署的SSL证书都是香港本地CA(香港邮政)所签发的SSL证书,香港是一个高度商业化的社会,政府并没有强制要求使用本地产品。最后,笔者借此机会在此祝福香港这个东方明珠明天更加美好!
