一、参考国际证书透明机制,建立国密证书透明体系
HTTPS加密是网站安全的必须,所有浏览器都对http明文网站零信任--直接在地址栏显示为“不安全”。而如何保障用于https加密的SSL证书自身安全,由谷歌牵头的证书透明国际标准体系给出了答案,并已经成功保障了76亿多张全球信任的SSL证书的安全,有效杜绝了SSL证书的恶意或错误签发。
目前,我国正在大力推广国密SSL证书的普及应用,推广普及国密https加密来保障我国网站系统安全可控。但是,目前各个CA机构签发的国密SSL证书都不支持证书透明,因为国际证书透明体系不支持国密算法和国密SSL证书。如何保障国密SSL证书的自身安全可信,必须借鉴国际证书透明体系,建立国密证书透明体系。
国际证书透明体系从2013年提出历时多年才形成了一系列支持证书透明的生态产品,包括证书透明日志系统,用于透明记录每一张签发的SSL证书;浏览器支持证书透明,已经在SSL证书中增加了一个新的字段—“SCT列表”用于包含证书透明日志签名数据(SCT);还有CA机构必须有能力签发包含SCT数据的SSL证书。并且,浏览器必须信任和能验证这些已经包含了SCT数据的SSL证书。目前,我国并没有这些支持国密算法的证书透明生态产品。
了解详情,请访问国际证书透明官网:https://certificate.transparency.dev
二、零信技术鼎力打造国密证书透明全生态产品
零信技术创始人王高华拥有18年的国际CA系统研发和业务运营经验,充分认识到我国必须拥有支持国密算法的证书透明生态产品来保障国密SSL证书的自身安全可信,否则无法普及使用国密SSL证书来保障我国网站系统安全。零信技术投入研发力量,历时15个月,于2022年10月成功打造出全球首个支持国密算法的证书透明体系全生态产品,包括全球独家率先采用国密算法实现的证书透明日志系统—零信国密证书透明日志系统、全球首个支持国密证书透明的完全免费的国密浏览器—零信浏览器、全球首个能签发包含国密证书透明日志数据的国密SSL证书的CA系统—零信云SSL系统、全球首个微改造自动配置支持国密证书透明的国密SSL证书实现国密https加密的创新云服务—零信国密HTTPS加密自动化云服务。
1.零信国密证书透明日志系统
这是全球第一个采用国密SM2算法实现的证书透明日志系统,并率先为证签技术和零信技术签发的国密SSL证书提供证书透明日志服务,增强用户对其签发的国密SSL证书的信心和信任。同时,该系统也已经开放给零信浏览器信任的国密根证书CA机构,为这些CA机构免费提供国密证书透明日志服务,保障这些CA机构签发的国密SSL证书的自身安全可信。
零信国密证书透明日志服务仅接受国密SM2算法签发的SSL证书,不接受其他算法的SSL证书。证书透明日志签名数据(SCT)采用国密算法SM3_SM2实现数字签名,不支持国密算法的浏览器和操作系统将无法正常解析国密SSL证书中包含的SCT数据,当然也就无法验证SCT数据。
零信国密证书透明日志服务系统已经成功部署3套系统:https://log.sm2ct.cn,https://sm2ct.cersign.cn,https://log.sm2ct.com,分别位于京东云广州节点、华为云广州节点、中国电信天翼云贵州节点。3个已经部署的零信国密证书透明日志服务系统已经预置零信浏览器信任。
了解详情,请访问国密证书透明官网:https://sm2ct.cn
2.零信云SSL系统
这是全球第一个能签发支持国密证书透明的国密SSL证书的CA系统,所签发的每一张国密SSL证书都包含了零信浏览器信任的国密证书透明日志签名数据(SCT),保障所签发的每一张国密SSL证书值得信任且能保护国密SSL证书用户免遭SSL中间人攻击。
如下左图所示为零信浏览器查看零信云SSL系统签发的国密SSL证书中包含的证书透明日志数据,同谷歌浏览器一样没有解析日志数据。但下载SSL证书后用Windows证书查看器查看的话,如下右图所示,能识别出这张国密SSL证书包含了SCT列表字段,并且能正常显示SCT数据中的大部分重要信息,只是无法识别出SCT数据的签名算法。
零信浏览器创新地直接在加密锁标识下面展示证书透明信息,如下左图所示,证书透明(SM2, 3),表示此网站已经提交到3个国密证书透明日志系统透明公示,两个零信国密证书透明日志系统和一个证签国密证书透明日志系统,如:ZoTrus ‘SM2CTcn2024’, 前部分为日志提供商名称,后部分为具体日志系统的名称。可以继续点击“了解详情”,详细了解证书透明图标的含义。
零信云SSL系统还有一个重要特色是为每一张签发的国密SSL证书自动配套签发一张绑定同样域名和身份信息的全球信任的ECC算法SSL证书,此证书包含国际证书透明日志数据,零信浏览器会展示此国际SSL证书的证书透明信息,如上右图所示,显示这张ECC SSL证书由谷歌日志系统和Cloudflare日志系统提供国际证书透明日志服务。
零信云SSL系统是一个双算法SSL证书签发系统,自动化为零信网关和云服务签发双SSL证书,实现双算法自适应加密,满足用户支持所有浏览器的实际应用需求,实现国密合规和全球信任。
3.零信浏览器
这是全球第一个支持国密证书透明的免费国密浏览器,全球独家率先实时验证国密SSL证书中包含的国密证书透明日志签名数据(SCT),已经预置信任零信技术部署的3个国密证书透明日志系统,对已经部署包含这3个国密证书透明日志系统签名的SCT数据的国密SSL证书的网站显示“证书透明”,并显示证书中包含的国密证书透明日志详细信息,如下左图所示。如果网站部署的是零信浏览器信任的但没有包含国密证书透明日志数据的国密SSL证书,则提示“证书不透明”。
零信浏览器计划在适当的时候采用谷歌浏览器一样的证书透明安全策略,对未包含零信浏览器信任的国密证书透明日志签名数据的国密SSL证书显示为“不安全”!即启用开源Chromium代码中关于证书透明安全的警告页,明确提醒用户这张国密SSL证书未遵循证书透明政策公开披露,无法确保这张国密SSL证书值得信任,无法保护用户免遭攻击。
欢迎免费 下载 使用全球首个支持国密证书透明的完全免费的零信浏览器。
三、国密证书透明保障国密SSL证书安全可信,保障我国网站系统安全可控
零信技术鼎力打造的3大国密证书透明生态产品:零信国密证书透明日志系统、零信云SSL系统、零信浏览器,这个我国首个国密证书透明全生态产品,有力保障国密SSL证书的自身安全可信,从而保障我国网站系统安全可控。
