本报告由零信技术 零信任安全研究院 全球独家发布,电子版首发渠道为零信任安全研究院微信公众号:zotrusi和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。
本次发布的是定期发布的2024年第一季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策。同时继续发布全球十大SSL证书提供商的排名情况与分析,供国内CA及相关企业制定发展战略参考。
根据国际证书透明日志系统数据统计,截止到 2024年3月31日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有 7.0258 亿张,比上一季度增加了 3.84%,首次突破 7 亿张。从本期开始不再发布从2013年以来累计签发了多少张SSL证书的数据,因为90%以上的SSL证书都是90天有效期,每个域名每年重复签发5次,这些已经过期的SSL证书的数量已经没有任何参考价值。
全球有效的SSL证书总数为 7.0258 亿张,其中只验证域名的DV SSL证书、验证单位身份的OV SSL证书和扩展验证单位身份的EV SSL证书的签发量、占比和同上一季度环比数据如下表1所示,可以看出SSL证书总数增长了3.84%,但DV SSL证书却增长了6.01%,说明DV SSL证书的比例仍然在持续增长。鉴于Cloudflare自动化签发了大量的O字段为Cloudflare的OV SSL证书,但实际上是为使用Cloudflare CDN服务的网站签发的,数量为4014万张,这些OV SSL 证书可以理解为是错误签发的OV SSL证书,实际上是DV SSL证书!也就是说,OV SSL证书实际数量少于4882万张,占比仅为 6.95%。所以,实际上,DV SSL证书占比为 93%,连续两个季度保持这个高比例,这意味着DV SSL证书已经一统天下,非DV SSL证书仅占不到 7%!
全球 7.0258 亿张有效证书中,排名前十七大SSL证书提供商的证书签发量、占比和同上季度环比增长情况如下表2所示,第1位仍然是Let’s Encrypt,并且比上一季度增加了12%,但稍微低于50%市场份额一点点,第2位是GoDaddy,从上上季度的第7位上升到上季度的5位,这个季度快速上升到第2位,这是火箭式的快速上升。谷歌在上上季度的第3位上升到上季度的第2位,本季度下降到第4位。Cloudflare从上上季度的第二位下跌到上季度的第4位,本季度继续下跌到第5位。这些变化的深层原因在第五部分深入分析。
从本期开始直接采用表格形式列出全球前17大SSL证书提供商的情况,主要是希望用户能了解全球SSL证书市场的全貌,这17大中美国不仅占据前8大,而且共有11家,占比65%。我国有一家,但是并不是顶级根CA,而是定制美国CA的中级根SSL证书提供商。而展示公司类型的目的是希望给我国各相关行业领导者战略决策参考,一定要改变只有CA机构才能签发SSL证书的传统旧观念!比如说,互联网软件厂商就应该向LE学习,LE就是编写一个自动化申请证书的软件而一跃成为全球第一大SSL证书提供商,也是拥有自己顶级根的CA机构。还有互联网公司、云服务提供商、设备制造商等等,都可以通过定制中级根方式来实现自动化为用户提供自己品牌的SSL证书,从而实现行业逆袭。
从本期开始,如下图1所示,用圆饼图直观展示全球前17大SSL证书提供商的证书签发量排名和占比情况。
本季度的数据中的DV SSL证书比例已经高达93%,这个数据非常值得重视,因为谷歌在去年3月3日发布了将来的计划,将推动国际标准缩短SSL证书有效期为90天,估计今年会落地。谷歌发布这个计划是有底气,因为目前全球有效SSL证书中已经有93%都是90天有效期的证书,虽然这个比例在我国并没有这么高,但是这个数据非常值得重视。唯一的出路大家应该已经看到了,只有自动化实现SSL证书的申请、部署和续期,这是唯一的一条路,不仅国际SSL证书如此,国密SSL证书也是如此。
我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
具体数据如下表3所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1633 张,比上一季度增加了 5.02%,连续两个季度都在增长。其中,上海市上升了一位,升到第1名。云南省上升了5位,黑龙江省上升最多,升了7位,这个可能与“尔滨”的火热有关。排名前5位的是 上海市、浙江省、北京市、海南省、广西壮族自治区。
对于国密算法SSL证书的部署情况,本季度无新增,31个省市自治区省级政府官网中部署了国密SSL证书的仍然只有一个湖南省政府门户网站。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署国密HTTPS加密自动化网关,原系统零改造,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。
对于默认HTTPS加密这一项,本月只有18个省政府官网自动启用HTTPS加密,虽然有多个省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,能节省原服务器的20%-30%算力,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。
对于省政府官网是否有云WAF防护这一项,31个省市自治区中有6个省政府网站有WAF防护,同时启用了默认https加密,只有这样,WAF防护才真正发挥防护作用。当然,我们无法知道政府网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
从本期开始,如下图2所示,用圆饼图直观展示全国31个省市自治区政府网站的证书签发量排名和占比情况。
我们检索了 *.gov.cn 的SSL证书申请量为 16658 张,比上一季度减少了 1.53%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1633张。这些*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表4所示。从数据可以看出,政府用户仍然喜欢申请无需提供任何证明材料的DV SSL证书,占比72%,比上期有所下降。而需要提供身份认证证明材料的OV SSL证书和EV SSL证书都有所上升,这是因为中金认证的市场份额在快速上升中,国内CA机构可以做到不用麻烦用户提供证明材料而完成其身份认证,所以,推荐政府用户向国内CA机构申请OV/EV SSL证书,如果要申请国外CA机构签发的SSL证书,则推荐申请DV SSL证书,以避免数据出境管理风险。
为政府网站*.gov.cn签发这16658张SSL证书的SSL证书提供商前19位排名及签发数量和国别如下表5所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。对比上一期数据可以看出:中金认证从上季度的第5位上升到第3位,上海CA从上季度的第8位上升到第6位,值得祝贺!
从本期开始,如下图3所示,用圆饼图直观展示为我国政府网站的签发国际SSL证书的SSL证书提供商的排名和占比情况。
从本期开始,特别为拥有全球信任的RSA算法顶级根的国内CA机构-中金认证(CFCA)和上海CA单独列出其在政府市场的SSL证书的占比增长趋势图,从2023Q2有分析数据开始,已经连续4个季度增长,分别从2023Q2的占比5.83%、2023Q3的6.29%、2023Q4的7.19%到2024Q1的10.78%,增长幅度高达185%。这说明政府用户在选购SSL证书时已经开始重视从拥有全球信任的顶级根的国内CA采购,以确保合规和供应安全。但是,即使RSA算法SSL证书是我国CA自己的顶级根证书签发,是否信任这些RSA算法根证书还是人家说了算,仍然有安全风险,普及自己说了算的商密SSL证书应用才是唯一安全上策。
我们同时还检索了港澳台地区的SSL证书申请量,如下表6所示。我国大陆各省市所有政府网站合计证书申请量为16658张,连续四个季度超过港澳台的数据的总和,这说明了我国大陆地区的政府网站已经开始重视网站信息安全防护和数据加密保护工作。本期数据显示大陆、台湾省和香港特区都有小幅下降。
我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书的中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有2家是专门签发证书的CA机构,仅排名为第六和第七,其余都是全球知名的互联网巨头和云服务提供商。
如下表7所示,本次列入统计的本土SSL证书提供商有19家,都是拥有自主品牌的全球信任的SSL中级根证书的SSL证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这19家SSL证书提供商中有8家公司是CA机构,有3家是知名的云服务提供商,其他8家是商业公司。
而这19家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书(下表中表示为“+”)。其他16家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods,本季度新增一家-厦门纳网进入前19位。
这19家国际SSL证书提供商签发的有效证书数合计为 117.4241 万张,比上一季度减少了 7.85%,对比全球数据增加了 3.84%,国内SSL证书提供商的市场份额连续四个季度在下降,这19家的总和在全球SSL证书提供商中排名第 14 位。而全球排名前10位的SSL证书提供商都在为用户提供自动化证书管理服务,用户喜欢能提供自动化申请和部署的SSL证书提供商,希望国内SSL证书提供商能尽快为用户提供自动化证书管理服务,特别是应该提供国密证书自动化管理服务,以实现双算法双SSL证书的自动化管理。国际SSL证书是临时市场,而国密SSL证书则是未来市场,早投入早收益。
本期值得注意的有三个数据:
从本期开始,增加这些本土国际SSL证书提供商所签发的SSL证书的类型统计数据,这样可以让相关方了解我国用户对SSL证书类型的选择取向。本期合计统计 1,174,241 张SSL证书中各种类型的占比数据如下表8所示,DV SSL证书占比高达97.94%,这个比例比全球市场的DV SSL证书的占比93%高出一点点,这说明了我国用户比全球用户更加喜欢无需提供任何身份证明材料的DV SSL证书,因为目前用户不愿意提供身份认证材料给国外CA,认证审核时间长和存在数据出境管理风险,这也可能是政府用户选择向国内CA申请OV/EV SSL证书的主要原因,从这个方面也印证了第二部分的国内CA的市场份额持续四个季度都在增长的原因。
本期发布的国密SSL证书数据来自零信国密证书透明日志系统(sm2ct.cn)和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的国密SSL证书数据仅供参考。合计 6448 张,比上一季度增长了 48.95%,连续6个季度持续增长,这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,不仅有省级政府网站实现了国密HTTPS加密(如湖南省),并且有多个地级市政务服务网站也已经实现国密HTTPS加密(如宝鸡市)。
本季度新增一家CA机构-贵州CA签发的国密SSL证书支持国密证书透明标准草案,希望更多了零信浏览器信任的CA机构签发的国密SSL证书支持国密证书透明,一旦有3家CA机构签发的国密SSL证书支持国密证书透明标准草案,本报告将在下个季度开始像国际SSL证书一样列表排名各个国密SSL证书提供商签发的国密SSL证书,以帮助用户在选购国密SSL证书时优先选择支持国密证书透明的国密SSL证书提供商,从而保障用户自身的合法权益和网站安全。
零信浏览器已经把计划强制实施国密证书透明计划的日期从原计划的2024年1月1日推迟到2024年7月1日,各家国密CA机构还有三个月时间去完成升级CA系统支持国密证书透明。从2024年7月1日起,零信浏览器会采用谷歌浏览器一样的证书透明策略,对没有在国密证书透明日志系统公开披露的国密SSL证书标记为不可信的SSL证书,请各家CA机构抓紧时间对接零信国密证书透明日志系统。
当然,我们希望有更多机构,包括国家密码主管部门和国家网站管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的国密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,国密SSL证书的签发统计数据才是真实的数据,国密SSL证书才能真正保障其自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。
本期继续发布全球前十大SSL证书提供商的排名变化情况,从中可以拓展我国SSL证书提供商的发展思路,这个很有价值。如下表9所示,Let’s Encrypt仍然是稳居第一位,并且比上一季度增长了12%,其成功秘诀在于它是首家提供自动化证书管理服务的厂商,也是一个浏览器背景的软件厂商,不仅自动化提供免费90天SSL证书,而且牵头制定了RFC8555国际标准,使得大量的服务提供商都依据标准对接其自动化证书服务系统,自动化为各种业务系统和各种物联网设备部署SSL证书。也就是说,LE由于成功打造了自动化证书管理生态,大家都离不开这个生态了,其市场份额只会是一直不断增长,其证书量是排名第二位GoDaddy的4.85倍,比其他9位的总和还要多。
本期最耀眼的是GoDaddy (红色曲线),从2023Q1排名第9位,只用了一年时间,一跃到了现在的第2位,其原因是GoDaddy是一个老牌域名注册商,拥有互联网用户来源入口,这些用户的域名在GoDaddy注册,只要GoDaddy为用户提供一站式建站服务,自动化提供网站所需的SSL证书,用户不会再去找其他家申请SSL证书了。这绝对是国内域名注册商好好学习的榜样,不能守着金山没饭吃,必须尽快为用户提供一站式建站服务和提供SSL证书自动化服务,当然必须是定制自己品牌的SSL中级根证书,否则统计数据还是人家的。而GoDaddy直接拥有自己的全球信任的顶级根证书,这在我国很难做到,只能通过定制SSL中级根证书来快速达到一样的效果。
第二个值得关注的是谷歌信任服务,从2022年3月30日开始提供ACME服务,到2023Q1从零开始一跃成为全球排名第四位的SSL证书提供商,第二季度就上升到第三位,而第四季度又升到到了第二位,也就是说谷歌只用了一年零九个月就成为了全球老二。但是为何本季度一下子下降到第4位呢?最大的可能是GoDaddy用户原先是使用谷歌的自动化证书服务,但是一旦GoDaddy也提供了自动化证书服务,则用户就直接用GoDaddy的自动化证书服务了。从这一点可以看出,互联网巨头如果不拥有用户来源入口,也是有其发展局限的。
第三个值得关注的是Cloudflare,从上上季度的第二位下跌到上季度的第4位,本季度下跌到第5位,只是因为没有自己的顶级根,定制的中级根证书可能受根CA的约束而从上上季度开始直接为用户自动化提供LE和谷歌的SSL证书,导致自己品牌的SSL证书市场份额持续下降。
第四个值得关注的是DigiCert和Sectigo,全球前两大CA机构理应排名第一和第二,本季度分别排名第6个和第7位,Sectigo下降了一位,可能与该公司最近经常在周末升级系统而无法签发证书有关。虽然这两家CA已经开始提供自动化证书管理服务,但是由于仅提供证书服务,用户已经在云服务提供商那里自动化拿到了SSL证书,怎么还会向你申请证书呢?目前的市场份额应该基本上都是传统的人工申请证书的用户的申请量,随着用户直接使用云服务平台的SSL证书,预计还会继续下滑。这是CA机构的劣势,而如何突破这个劣势,唯一的突破口仍然是自动化,一个同互联网公司和云平台商不一样的自动化,而不是学习他们的自动化方案,因为最终用户在他们手中,如果你的解决方案同他们一样,用户怎么会去用你的方案呢?这一点值得所有CA机构反思。
国内CA机构有国外CA机构不一样的优势就是国密改造需要国密SSL证书,国内CA机构可以通过抓住国密改造的机会实现突破,因为用户同时需要国密SSL证书和国际SSL证书,实现双算法双SSL证书部署。每个能签发国密SSL证书的CA机构都应该能同时签发自己品牌的国际SSL证书,而不是代理其他品牌的国际SSL证书,这样就可以通过国密SSL证书的刚需来带动起其国际SSL证书市场份额的提升。而要实现快速提升,唯有自动化,唯有普及应用国密HTTPS加密自动化网关才能让用户零改造实现双SSL证书的自动化供给和自动化部署。
本期报告有两个方面的改进,一是更多地采用了图表,让用户对各种数据一目了然。二是重点分析了国际SSL证书的发展趋势对我国相关厂商的发展战略参考,并且重点关注了用户对国内CA机构签发的国际SSL证书的增长数据,以帮助用户在选购国际SSL证书时能更多关注国内CA机构,以满足政府用户对数据出境安全风险管理的实际需要。当然,我国SSL证书发展的最终市场机会是国密SSL证书,只有相关产业各界都积极推动国密SSL证书自动化的应用,真正解决用户在使用国密SSL证书中的痛点,才能让用户积极选用国密SSL证书,真正普及应用国密SSL证书来保障我国网空安全。
2024年是“国密HTTPS加密自动化年”,今年极有可能落地90天有效期SSL证书安全政策,唯有自动化才能实现国密HTTPS加密的普及应用。唯有拥抱自动化,才能适应不断变化的网络安全浪潮,在数字时代实现稳健增长。