好一个深圳创新-双算法SSL证书招标的高标准指标
2023年10月17日

第一个创新：标题直接写“双算法SSL证书服务采购”

直接明确告诉供应商采购的是双算法SSL证书，而不是简单写SSL证书，或写采购国密SSL证书。网站部署双算法双SSL证书是一个既满足了国密合规又满足了全球信任的双需求的最佳方案，只有部署了双算法双SSL证书才能实现自适应算法HTTPS加密，国密浏览器采用国密算法实现HTTPS加密，不支持国密算法的浏览器采用国际算法实现HTTPS加密，因为政务系统是面向所有老百姓的，不能强制要求用户必须使用国密浏览器才能使用政务系统，方便老百姓使用任何浏览器都能访问政务系统。

目前我国的政务系统仅部署国际SSL证书是不合规的，但是仅部署国密SSL证书又存在浏览器的广泛支持问题，而同时部署国密SSL证书和国际SSL证书就解决了这个矛盾，既合规又实用，这应该是所有政府网站和政务系统的默认配置，当然这种配置是一个过渡时期的配置，一旦我国实现了国密HTTPS加密全生态产品的全面支持国密算法，就只需仅部署国密SSL证书了。

第二个创新：明确要求双SSL证书必须都支持证书透明

这个要求绝对是国内首创，以前绝对没有过。并且是在产品功能上占25分的高比例，为什么？因为只有证书透明才能保证签发给深圳政府域名的SSL证书是政务云平台管理员自愿申请并完成域名控制权验证的SSL证书，这才是有保障的SSL证书。如果不支持证书透明，无法保证CA机构不会恶意签发或者错误签发绑定深圳政府域名的SSL证书。

产品功能要求的原文是“国际算法SSL证书支持国际证书透明，国密算法SSL证书支持国密证书透明，双证书签发行为透明公示” ，特别强调了双算法SSL证书签发行为的透明公示。由于谷歌从2013年开始强势推动国际证书透明，已经有超过108亿张全球信任的国际SSL证书实现了证书透明公示。但是，这个国际证书透明体系不支持国密SSL证书，而国密证书透明相关国密标准还在制定立项中，深圳政务云平台为了保障政务系统的国密HTTPS加密的安全，敢为天下先，全国率先在公开招标技术指标中明确要求必须支持国密证书透明，这不得不让笔者拍案叫好，这是来自国密SSL证书用户的刚需和强音，也必将一定会成为全国各省市政务云平台招标SSL证书的标准要求，因为只有国密SSL证书的透明签发才能保障国密HTTPS加密的安全。

笔者现在非常能理解为何谷歌在2013年那么强势地推动证书透明技术，因为谷歌自己就是各种恶意攻击签发或错误操作签发的SSL证书的受害者，不断有用于攻击的绑定gmail.com和google.com的SSL证书被签发，而这些SSL证书都是全球信任的SSL证书。所以，谷歌认为浏览器的信任列表不足以保障SSL证书用户的安全，必须还要有一个来自第三方的约束机制来约束CA的证书签发行为，这就发明了证书透明机制，并牵头制定了证书透明国际标准RFC6962。经过10年的努力，截止到现在，每一张全球信任的国际SSL证书都支持证书透明，累计有超过108亿张国际SSL证书都已经实现了证书透明公示，以保障每一张国际SSL证书的安全可信。国密SSL证书当然也理当如此，所以，深圳政务云平台在招标时明确要求支持国际证书透明和国密证书透明。

第三个创新：明确要求免费配套提供不限用户数量的国密浏览器

这个要求是政府用户对目前市场上的收费的国密浏览器说“不”，因为自从有了互联网，有了浏览器，所有国际流行的浏览器都是完全免费的，为何支持国密算法的浏览器就要收费呢？这不是故意拿我们政府用户必须国密改造来卡我们脖子吗？这就是“趁火打劫”，是不正当的商业行为，深圳必须打击这种恶为！怎么打击？只能在招标SSL证书时明确提出来，立一个标杆，明确态度，SSL证书提供商必须搞定免费配套提供国密浏览器这事。

笔者相信深圳政务云平台在起草标书时一定已经了解到市场上已经有了完全免费的国密浏览器，所以才有底气敢叫这个板！这个叫板比笔者写文章呼唤有力量多了！笔者又是拍案叫绝！因为要想普及国密HTTPS加密，必须有完全免费的国密浏览器才能实现，这是我国普及国密HTTPS加密的大事，深圳政务云给了有力的推动，必须点赞！