俄乌冲突导致大量俄罗斯政府和银行等重要网站的SSL证书被吊销,这给我国互联网安全,特别是关键信息基础设施安全敲响了警钟,这也充分证明了我国在2020年1月1日正式施行《密码法》的高瞻远瞩,《密码法》第二十七条要求我国关键信息基础设施必须使用商用密码进行保护。但是,至于如何采用商用密码进行保护,则并没有出台实施细则明确,目前只能各个密码产品厂商自圆其说的解释自己的产品的使用和部署能满足《密码法》合规要求,本文就SSL证书和HTTPS加密的国密合规提供我们的观点和思路。
SSL证书是互联网安全的底板产品(依据木桶理论),HTTPS加密是互联网安全的核心基础技术,互联网在发明和问世时是采用明文传输协议的,不仅广泛使用的Web协议-HTTP协议是明文传输,这是互联网的第一大流量,而且第二大流量的电子邮件MIME协议也是明文传输( 包括 SMTP协议和IMAP协议)。这些不安全的明文传输协议被不断完善为加密传输协议,也就是HTTPS协议,还有S/MIME协议,这些协议名称中的“S”就是“Secure(安全)”的意思。
而目前被广泛使用的HTTPS加密协议和SSL证书都是采用RSA算法和ECC算法,这是一个国外的加密算法,为了保障我国的互联网安全和信息系统安全,我国推出了相应的自己的加密算法,那就是SM2算法,包括用于消息认证的SM3算法和用于加密的SM4算法。大家俗称的“国密SSL证书”就是指采用 SM2算法签发的SSL证书,对应国密SSL证书或SM2 SSL证书,我们把采用RSA算法签发的SSL证书称为“RSA SSL证书”,把采用ECC算法签发的SSL证书称为 “ECC SSL证书”,这实属是无奈之举,国外并没有RSA SSL证书和ECC SSL证书这个叫法,都称之为“SSL证书”。
要实现HTTPS加密,必须有CA签发SSL证书,有浏览器信任签发SSL证书的根证书,有Web服务器支持签发这张SSL证书采用的加密算法,还必须有支持这种加密算法的浏览器可以用HTTPS加密协议实现安全的网页访问。也就是说,只有浏览器(包括移动App)、SSL证书和Web服务器都支持国密算法,才能实现国密HTTPS加密,这是要建立一个国密证书应用生态。笔者早在由中央网信办网络安全协调局、国家密码管理局指导,中国电子信息产业发展研究院主办的“2018网络空间可信峰会”(2018年12月17日-18日)就提出了“中国网络空间可信生态建设框架”构想,这是一个完整的国密证书应用生态构想,现在看来还是很前瞻的,笔者也很高兴地看到由于《密码法》的实施使得这个生态构想正在我国加速实现中。
这个生态中最重要的应用之一就是国密HTTPS加密,而实现国密HTTPS加密的首要部件就是国密浏览器,浏览器不支持国密算法和国密SSL证书,CA签发国密SSL证书就没有了应用基础。这也就是为何零信技术推出的第一个产品是全面支持国密算法和国密SSL证书的零信浏览器,这是一个遵循通用浏览器商业模式的完全免费的国密浏览器,并且在发布时就已经预置信任8家CA机构的国密根证书和国家国密根证书。
零信浏览器基于开源Chromium研发,主要就是增加了支持国密算法和国密SSL证书,并特别创新地在地址栏增加了一个国密加密标识 ,点击国密加密标识,会提示“国密合规,密保合规”。这个提示就是提出了我们对《密码法》在HTTPS加密保护方面的合规理解与解释,只要网站部署零信浏览器信任的国密SSL证书,零信浏览器会优先采用国密算法实现HTTPS加密,也就是使用了商用密码进行保护,这就是满足了《密码法》的合规要求,也就是满足了密码保护合规要求,零信浏览器就明确告知网站访问者这个网站是国密合规和密保合规的,一目了然,无需更多的解释,这也是一种创新。
要想普及国密SSL证书应用,必须先普及国密浏览器的使用。欢迎读者朋友们免费 下载 使用零信浏览器,体验一下国密加密是什么样的,这里推荐访问两个部署了国密SSL证书的网站:第1个网站是湖南省人民政府网站:https://www.hunan.gov.cn,第2个网站是信用中国(江西):https://www.creditjx.gov.cn,这两个网站都是部署SM2/RSA双SSL证书自适应加密,使用零信浏览器访问就是优先采用国密加密,而使用其他浏览器会采用RSA加密,看不到国密加密的效果。欢迎体验不一样的国密https加密!
有诗为证:
SSL证书,HTTPS加密必配。
国密SSL证书,国密HTTPS加密必配。
国密浏览器,国密HTTPS加密必配。
零信浏览器,免费、干净、透明,普及国密担大任!