零信可信根证书认证计划生效日期:2022 年 4 月 20 日

1.计划要求

零信浏览器使用公钥基础设施(PKI)来保护和提升用户体验,支持RSA/ECC/SM2算法,使用RSA/ECC算法的根证书必须遵循相关的国际标准,而根证书使用SM2算法的必须遵循相关国密标准。

1.1 使用 RSA/ECC 算法的证书颁发机构 (CA) 要求

  • CA 必须确保至少每年根据以下标准之一对CA进行审计:
    ✦ 证书颁发机构的 WebTrust 原则和标准(首选)
    ✦ ETSI EN 319 411-1 LCP、NCP 或 NCP+(根据具体情况决定是否接受)
  • CA 必须确保其启用 SSL/TLS 的顶级根CA和所有能够颁发SSL/TLS证书的中级根CA至少每年根据以下一组标准中的至少一个进行审计:
    ✦ 证书颁发机构的 WebTrust 原则和标准以及证书颁发机构的WebTrust 原则和标准 - SSL基线和网络安全(首选)
    ✦ ETSI EN 319 411-1 LCP 和(DVCP 或 OVCP)(根据具体情况决定是否接受)
  • CA 必须确保其启用扩展验证 (EV) 的顶级根CA和所有能够颁发EV SSL/TLS证书的中级根CA至少每年根据以下一组标准中的至少一个进行审计:
    ✦ 证书颁发机构的WebTrust 原则和标准、证书颁发机构的 WebTrust 原则和标准 - SSL 基线和网络安全、证书颁发机构的 WebTrust 原则和标准 - 扩展验证 SSL (首选)
    ✦ ETSI EN 319 411-1 NCP 和 EVCP(根据具体情况决定是否接受)
  • CA 必须严格遵守其证书政策 (CP) 和/或认证业务规则 (CPS) 文件。
  • TLS/SSL CA 必须始终遵守 CA/浏览器论坛基线要求证书政策以颁发和管理公共信任证书,并且必须在其 CP 和/或 CPS 中纳入并承诺遵守 CA/浏览器论坛的基线要求文件。
  • EV SSL CA 必须始终遵守 CA/浏览器论坛关于颁发和管理扩展验证证书的指南,并且必须在其CP 和/或 CPS 文档中纳入并承诺遵守 CA/浏览器论坛的 EV 指南。
  • 如果 CA 预计任何 CA 证书(无论是顶级根证书还是中级根证书)的控制权或所有权发生任何变化,则必须通知零信。根证书的信任是不可以转让的。
  • 根证书必须为零信浏览器的用户提供广泛的价值。
  • 申请加入零信可信根证书认证计划的 CA 应在提交申请之前满足所有计划要求和政策要求。

1.2 使用 SM2 算法的证书颁发机构 (CA) 要求

  • CA 必须持有工信部和国密局颁发的有效的CA 许可证,并且必须拥有自己的 SM2 算法顶级根证书或国家根签发的中级根证书,能颁发 SM2 SSL/TLS 证书。
  • 如果CA 没有有效的中国CA 许可证,则必须有 WebTrust 审计的年度报告,并且 Microsoft/Mozilla/Google/Apple 根证书认证计划中至少包含一个 RSA/ECC 根,这类CA 的申请将根据具体情况决定是否接受。
  • 其他要求与上述RSA/ECC算法相关标准相同,只是算法不同。

2.政策要求

2.1 使用 RSA/ECC 算法的CA要求

  • CA 必须披露零信可信根证书认证计划中的顶级根证书签发的所有中级根证书。
  • 其他政策要求符合 CA/浏览器论坛要求。

2.2 使用 SM2 算法的CA要求

  • 国家SM2根证书已预置在零信浏览器中并已信任,但所有中级根证书CA必须联系我们申请信任其中级根证书,以便零信浏览器能正确验证证书链和显示正确的证书信任级别图标。
  • 为了快速识别用户证书类型,CA 必须在其最终用户 TLS/SSL 证书的证书策略扩展中声明以下策略 OID 之一:
    ✦ DV SSL证书:1.2.156.157933.11,对应CA/B Forum OID:2.23.140.1.2.1
    ✦ IV SSL证书:1.2.156.157933.12,对应CA/B Forum OID:2.23.140.1.2.3
    ✦ OV SSL证书:1.2.156.157933.13,对应CA/B Forum OID:2.23.140.1.2.2
    ✦ EV SSL证书:1.2.156.157933.14,对应CA/B Forum OID:2.23.140.1.1
  • 为了快速验证用户证书是否可信,TLS/SSL证书必须有授权密钥标识符(KeyID)、授权信息访问网址(AIA)、增强密钥用法为服务器身份验证和客户端身份验证。中级根证书也必须授权密钥标识符(KeyID)、授权信息访问网址(AIA)。
  • 其他要求与上述RSA/ECC算法相关标准相同,只是算法不同。

3.提交过程

下载 申请表,填好表格后发邮件给 邮件,并附上您的根证书详细信息,包括公司名称、联系信息、根证书、测试网站等。如果需要任何其他信息,我们将联系您。

4.根预置接受

零信自行决定接受和删除其认为合适的根证书。零信自行决定优先考虑某个根证书预置申请。

所有开源项目Chromium已经预置并信任的 RSA/ECC 算法根证书都是默认信任的,但我们会随时更改我们的这个政策,恕不另行通知,我们可能会取消信任某个默认信任的根证书。

5.事故

以任何方式未能遵守上述要求均被视为事故。 CA 必须通过 邮件 向零信可信根证书认证计划报告此类事件,并附上完整的事件报告。

6.已预置信任的 SM2 算法根证书

6.1 已预置信任的顶级根证书

根证书单位名称
徽标
主题通用名称信息
签发EV SSL证书
到期日期
1
国家社会公众应用根证书
国家社会公众应用根证书
2042-07-07
2
国家公务员应用根证书
国家公务员应用根证书
2044-07-07
3
国家设备应用根证书
国家设备应用根证书
2044-07-07
4
数安时代(GDCA)
数安时代
2045-11-20
5
亚数信息
亚数信息
2040-12-23
2041-05-20
6
上海CA
上海CA
2038-12-31
2045-04-28
7
中金认证(CFCA)
中金认证(CFCA)
2042-08-24
8
天威诚信
天威诚信
2045-09-15
9
沃通CA
沃通CA
2044-04-04
10
陕西CA
陕西CA
2046-07-30
11
网证通CA
网证通CA
2046-10-28

6.2 已预置信任的中级根证书(由国家根证书签发)

中级根证书单位名称
徽标
主题通用名称信息
到期日期
1
中金认证(CFCA)
中金认证(CFCA)
2035-07-05
2
贵州CA
贵州CA
2034-02-08
3
陕西CA
陕西CA
2034-11-29
4
网证通CA
网证通CA
2033-7-22