一、参考国际证书透明机制,建立国密证书透明体系
HTTPS加密是网站安全的必须,所有浏览器都对http明文网站零信任--直接在地址栏显示为“不安全”。而如何保障用于https加密的SSL证书自身安全,由谷歌牵头的证书透明国际标准体系给出了答案,并已经成功保障了76亿多张全球信任的SSL证书的安全,有效杜绝了SSL证书的恶意或错误签发。
目前,我国正在大力推广国密SSL证书的普及应用,推广普及国密https加密来保障我国网站系统安全可控。但是,目前各个CA机构签发的国密SSL证书都不支持证书透明,因为国际证书透明体系不支持国密算法和国密SSL证书。如何保障国密SSL证书的自身安全可信,必须借鉴国际证书透明体系,建立国密证书透明体系。
国际证书透明体系从2013年提出历时多年才形成了一系列支持证书透明的生态产品,包括证书透明日志系统,用于透明记录每一张签发的SSL证书;浏览器支持证书透明,已经在SSL证书中增加了一个新的字段—“SCT列表”用于包含证书透明日志签名数据(SCT);还有CA机构必须有能力签发包含SCT数据的SSL证书。并且,浏览器必须信任和能验证这些已经包含了SCT数据的SSL证书。目前,我国并没有这些支持国密算法的证书透明生态产品。
了解详情,请访问国际证书透明官网:https://certificate.transparency.dev
二、零信技术鼎力打造国密证书透明全生态产品
零信技术创始人王高华拥有18年的国际CA系统研发和业务运营经验,充分认识到我国必须拥有支持国密算法的证书透明生态产品来保障国密SSL证书的自身安全可信,否则无法普及使用国密SSL证书来保障我国网站系统安全。零信技术投入研发力量,历时15个月,于2022年10月成功打造出全球首个支持国密算法的证书透明体系全生态产品,包括全球独家率先采用国密算法实现的证书透明日志系统—零信国密证书透明日志系统、全球首个支持国密证书透明的完全免费的国密浏览器—零信浏览器、全球首个能签发包含国密证书透明日志数据的国密SSL证书的CA系统—零信云SSL系统、全球首个零改造自动配置支持国密证书透明的国密SSL证书实现国密https加密的创新云服务—零信国密HTTPS加密自动化云服务。
1.零信国密证书透明日志系统
这是全球第一个采用国密SM2算法实现的证书透明日志系统,并率先为证签技术和零信技术签发的国密SSL证书提供证书透明日志服务,增强用户对其签发的国密SSL证书的信心和信任。同时,该系统也已经开放给零信浏览器信任的国密根证书CA机构,为这些CA机构免费提供国密证书透明日志服务,保障这些CA机构签发的国密SSL证书的自身安全可信。
零信国密证书透明日志服务仅接受国密SM2算法签发的SSL证书,不接受其他算法的SSL证书。证书透明日志签名数据(SCT)采用国密算法SM3_SM2实现数字签名,不支持国密算法的浏览器和操作系统将无法正常解析国密SSL证书中包含的SCT数据,当然也就无法验证SCT数据。
零信国密证书透明日志服务系统已经成功部署3套系统:https://log.sm2ct.cn/2023,https://sm2ct.cersign.cn/2023,https://log.sm2ct.com/2023,分别位于京东云广州节点、华为云广州节点、亚马逊云新加坡节点。3个已经部署的零信国密证书透明日志服务系统已经预置零信浏览器信任。
了解详情,请访问国密证书透明官网:https://sm2ct.cn
2.零信云SSL系统
这是全球第一个能签发支持国密证书透明的国密SSL证书的CA系统,所签发的每一张国密SSL证书都包含了零信浏览器信任的国密证书透明日志签名数据(SCT),保障所签发的每一张国密SSL证书值得信任且能保护国密SSL证书用户免遭SSL中间人攻击。
如下左图所示为零信浏览器查看零信云SSL系统签发的国密SSL证书中包含的SCT数据,能正常显示SCT数据的签名算法为国密SM3_SM2。而如果用Windows证书查看器查看的话,如下右图所示,能识别出这张国密SSL证书包含了SCT列表字段,并且能正常显示SCT数据中的大部分重要信息,只是无法识别出SCT数据的签名算法。
零信云SSL系统还有一个重要特色是为每一张签发的国密SSL证书自动配套签发一张绑定同样域名的全球信任的ECC DV SSL证书(包含国际证书透明日志数据),是一个双算法SSL证书签发系统,方便用户部署双SSL证书,实现双算法自适应加密,满足用户支持所有浏览器的实际应用需求,实现国密合规和全球信任。
3.零信浏览器
这是全球第一个支持国密证书透明的免费国密浏览器,全球独家率先实时验证国密SSL证书中包含的国密证书透明日志签名数据(SCT),已经预置信任零信技术部署的3个国密证书透明日志系统,对已经部署包含这3个国密证书透明日志系统签名的SCT数据的国密SSL证书的网站显示“国密证书透明”,并显示证书中包含的国密证书透明日志系统网址,如下左图所示。如果网站部署的是零信浏览器信任的但没有包含国密证书透明日志数据的国密SSL证书,则提示“国密证书不透明”。
零信浏览器计划从2024年1月1日起采用谷歌浏览器一样的证书透明安全策略,对未包含零信浏览器信任的国密证书透明日志签名数据的国密SSL证书显示为“不安全”!即启用开源Chromium代码中关于证书透明安全的警告页,明确提醒用户这张国密SSL证书未遵循证书透明政策公开披露,无法确保这张国密SSL证书值得信任,无法保护用户免遭攻击。
欢迎免费 下载 使用全球首个支持国密证书透明的完全免费的零信浏览器。
4.零信国密HTTPS加密自动化云服务
零信国密HTTPS加密自动化云服务,也称网站安全云服务,是全球首个零改造实现国密https加密的创新云服务,由零信技术联合阿里云鼎力打造,用户无需申请国密SSL证书,无需安装国密SSL证书,Web服务器也无需任何国密改造,用户只需做3次域名解析,就可以由零信云SSL系统全自动配置国密SSL证书和国际SSL证书到阿里云CDN+WAF服务系统中,把原网站变成源站,自动启用阿里云CDN内容分发和云WAF防护,自动实现https加密,彻底解决国密改造成本太高和改造周期太长的难题。
零信国密HTTPS加密自动化云服务自动配置的国密合规的国密SSL证书都已经包含了国密证书透明日志签名数据(SCT),确保国密SSL证书自身安全可信;自动配置的全球信任的ECC SSL证书也都已经包含了国际证书透明日志签名数据,确保国际SSL证书自身安全可信。零信浏览器优先采用国密算法实现国密https加密,其他不支持国密算法的浏览器则采用ECC算法实现https加密。
零信国密HTTPS加密自动化云服务,无需国密改造,一键实现国密https加密、云WAF防护、CDN分发和网站可信认证,能快速高效保障网站安全,满足政府网站和各个关键信息基础设施系统的等保合规和密保合规需求。
欢迎 选购 全球首个零改造全自动实现国密https加密的零信国密HTTPS加密自动化云服务。
5.零信Nginx国密支持模块
对于希望自己部署国密SSL证书的用户,则需要改造Web服务器软件支持国密算法和国密SSL证书,零信技术研发的零信Nginx国密支持模块,可免费用于Nginx Web服务器国密https加密改造,不仅完全免费,而且没有任何使用限制,用户只需把模块重新编译到Nginx系统中即可。
零信技术的三大创新产品已经形成了一个完整的生态产品链,其中零信云SSL系统,为用户提供支持国密证书透明的国密SSL证书和配套提供全球信任的国际SSL证书,包括完全免费的90天国密SSL证书和90天国际SSL证书;再加上完全免费的零信Ngnix国密支持模块和完全免费的零信浏览器,这些国密证书透明生态创新产品可以让用户完全免费实现和体验国密https加密,并且是双证书部署自适应加密算法,满足用户的全球信任和国密合规需求。
想自己部署双SSL证书免费体验国密https加密的用户可以点击 这里 申请免费90天的支持国密证书透明的国密SSL证书和免费90天的全球信任的ECC SSL证书,点击 这里 免费下载零信Nginx国密支持模块,点击 这里 免费下载支持国密证书透明和国密SSL证书的零信浏览器,免费体验不一样的透明实现国密https加密和全球信任,体验如何实现支持所有浏览器,如何实现自适应算法https加密。
三、保障国密SSL证书安全可信,保障我国网站系统安全可控
零信技术鼎力打造的3大国密证书透明生态产品:零信国密证书透明日志系统、零信云SSL系统、零信浏览器,再加上完全免费的零信Nginx国密支持模块,可以让用户 零成本 实现国密https加密。而零信国密HTTPS加密自动化云服务则是一个 零改造 实现国密https加密的创新云服务,彻底降低国密合规门槛,一键满足国密合规需要。零信技术不仅提供保障国密SSL证书的自身安全国密证书透明体系产品,而且提供实现国密https加密的完整解决方案,必将进一步推动国密https加密的快速应用,从而保障我国网站安全可控。
中国网络空间安全,需要、应该、必须用中国密码来保护!零信技术鼎力打造国密证书透明生态产品和零改造国密HTTPS加密服务,保障中国网站安全可控!零改造,让普及国密https加密成为现实!双证书部署,能有力保证无论发生何种国际状况都不会影响我国网站正常加密运行!中国密码在行动!已经有多个省级政府门户网站、网银系统、企业网站都启用国密https加密,有力保障我国电子政务系统、网银系统和业务系统安全可信可控!
