本报告由 零信任安全研究院 和 零信浏览器 全球独家联合发布,电子版首发渠道为零信任安全研究院微信公众号:zotrusi和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。
本次发布的是定期发布的2024年第3季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策。本期发布2024年度二十大银行的SSL证书申请数据,并对比去年Q3发布的数据做出相关分析,供银行业界及相关单位决策参考。
根据国际证书透明日志系统数据统计,截止到 2024年9月30日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有 8.8606 亿张,比上一季度增加了 18.94%,其中只验证域名的DV SSL证书、验证单位身份的OV SSL证书和扩展验证单位身份的EV SSL证书的签发量、占比和同上一季度环比数据如下表1所示,可以看出SSL证书总数增长了18.94%,但DV SSL证书却增长了19.62%,说明DV SSL证书的比例仍然在持续增长,其占比由上一季度的90.78%增长到91.31%。鉴于微软云、Cloudflare和思科等大厂自动化签发了大量的O字段为其公司名称的OV SSL证书,但实际上是为使用其云服务的网站和设备签发的,这些OV SSL 证书可以理解为是错误签发的OV SSL证书,实际上是DV SSL证书!也就是说,OV SSL证书实际数量少于2365万张,占比仅为 2.67%。所以,实际上,DV SSL证书占比为 97.29%,不仅连续4个季度保持这个高比例,而且是达到了历史新高,这意味着DV SSL证书已经一统天下,非DV SSL证书仅占不到 3% !
全球 8.8606 亿张有效证书中,排名前十六大SSL证书提供商的证书签发量、占比和同上季度环比增长情况如下表2所示,第1位仍然是Let’s Encrypt,并且比上一季度增加了9.61%,市场占比比上季度略有下降,第2位是GoDaddy,保持上季度的第2位。谷歌保持上季度的第3位。值得一提的是传统CA机构DigiCert的证书签发量由上季度的第5位(4486万张)上升到第4位(7115万张),增长幅度高达58.60%,这只能说明DigiCert已经发力自动化证书管理,这值得所有国内CA机构学习和借鉴。
本期继续直接采用表格形式列出全球前16大SSL证书提供商的情况,主要是希望用户能了解全球SSL证书市场的全貌,这16大中美国不仅占据前8大,而且共有11家,占比69%,证书签发量占97.23%。我国有一家,但并不是顶级根CA,而是定制美国CA的中级根SSL证书提供商。而展示公司类型的目的是希望给我国各相关行业领导者战略决策参考,一定要改变只有CA机构才能签发SSL证书的传统旧观念!比如说,互联网软件厂商就应该向LE学习,LE就是编写一个自动化申请证书的软件而一跃成为全球第一大SSL证书提供商,也是拥有自己顶级根的CA机构。还有互联网公司、云服务提供商、设备制造商等等,都可以通过定制中级根方式来实现自动化为用户提供自己品牌的SSL证书,从而实现行业逆袭。
如下图1所示,用圆饼图直观展示全球前16大SSL证书提供商的证书签发量排名和占比情况。
本季度的数据中的DV SSL证书比例已经高达 97.29%,这个数据非常值得重视,因为谷歌在去年3月3日发布了将来的计划,将推动国际标准缩短SSL证书有效期为90天,估计今年会落地。谷歌发布这个计划是有底气,因为目前全球有效SSL证书中已经有97%都是90天有效期的证书,虽然这个比例在我国并没有这么高,但是这个数据非常值得重视。唯一的出路大家应该已经看到了,只有自动化实现SSL证书的申请、部署和续期,这是唯一的一条路,不仅国际SSL证书如此,国密SSL证书也是如此。
我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
具体数据如下表3所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1801 张,比上一季度增加了 1.87%,连续三个季度都在增长。其中,排名前5名本季度没有变化,仍然是 上海市、浙江省、北京市、海南省、广西壮族自治区,宁夏自治区从上季度排名8位上升到6位。
对于国密算法SSL证书的部署情况,本季度没有新增,31个省市自治区省级政府官网中部署了商密SSL证书的有两个省:湖南省和海南省。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署国密HTTPS加密自动化网关,原系统零改造,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。
对于默认HTTPS加密这一项,本月只有17个省政府官网自动启用HTTPS加密,虽然有多个省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,能节省原服务器的20%-30%算力,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。
对于省政府官网是否有云WAF防护这一项,31个省市自治区中有5个省政府网站有WAF防护,同时启用了默认https加密,只有这样,WAF防护才真正发挥防护作用。当然,我们无法知道政府网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
如下图2所示,用圆饼图直观展示全国31个省市自治区政府网站的证书签发量排名和占比情况。
我们检索了 *.gov.cn 的SSL证书申请量为 17356 张,比上一季度增长了 2.67%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1801张。这些*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表4所示。从数据可以看出,政府用户仍然喜欢申请无需提供任何证明材料的DV SSL证书,占比69.42%,比上期有所下降。而需要提供身份认证证明材料的OV SSL证书的占比继续上升中,推荐政府用户向国内CA机构申请OV或EV SSL证书,如果要申请国外CA机构签发的SSL证书,则推荐申请DV SSL证书,以避免数据出境管理风险。但是,我们发现,多个省市的政府官网的OV SSL证书的O字段并不是政府机构名称,而是公司名称,这绝对是一张错误签发的OV SSL证书,可以理解为是销售商为了提高证书销售额但又拿不到政府机构的身份证明材料的无奈之举和不良行为,应该直接给这些政府网站申请DV SSL证书,而不是给一张身份信息错误的OV SSL证书。
为政府网站*.gov.cn签发这 17356 张SSL证书的SSL证书提供商前17位排名及签发数量和国别如下表5所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。对比上一期数据可以看出:排名第三位发生了变化,是免费提供自动化签发和部署服务的LE免费90天证书,网站数量增长了一倍,这个变化非常值得重视,说明政府网站已经开始看重无需定期安装证书的自动化HTTPS加密解决方案,虽然这个自动化方案不是国密HTTPS加密自动化。另外,美国CA-DigiCert下降了14%,这是连续5个季度在下降,可以看出政府用户更加青睐国内CA。
如下图3所示,用圆饼图直观展示为我国政府网站的签发国际SSL证书的SSL证书提供商的排名和占比情况。
对于拥有全球信任的RSA算法顶级根的国内CA机构-中金认证(CFCA)、上海CA和数安时代(GDCA),本期继续单独列出其在政府市场的SSL证书的占比增长趋势图,从2023Q2有分析数据开始,已经连续5个季度增长,分别从2023Q2的占比5.83%、2023Q3的6.29%、2023Q4的7.19%、2024Q1的10.78%、2024Q2的11.41%到本季度开始加上数安时代的13.25%。这说明政府用户在选购SSL证书时已经开始重视从拥有全球信任的顶级根的国内CA采购,以确保合规和供应安全。但是,即使RSA算法SSL证书是我国CA自己的顶级根证书签发,是否信任这些RSA算法根证书还是人家说了算,仍然有安全风险,普及自己说了算的国密SSL证书应用才是唯一安全上策。
我们同时还检索了港澳台地区的SSL证书申请量,如下表6所示。我国大陆各省市所有政府网站合计证书申请量为 17356 张,而台湾省本季度略有减少。本期数据显示香港特区和澳门特区都有上升,台湾省政府网站、香港政府网站和澳门政府网站分别有 3%、7% 和 21% 的比例启用了自动化证书管理服务提供商的SSL证书,这是上个季度没有发现的数据,表明港澳台政府网站已经开始小规模使用自动化证书管理服务,这同大陆政府网站有 9% 的使用比例也印证了政府网站已经开始接受自动化证书管理的解决方案,期待在下一季度能看到其数据的增长。
需要特别指出的是:国际上的自动化证书管理解决方案是必须在Web服务器上上安装ACME客户端的解决方案,这对于比较老的系统是无法实现的,而对于一些重要系统是否应该安装第三方软件也是值得评估的。最简单的自动化证书管理解决方案是原Web服务器零改造,零安装ACME客户端软件,只需在其前面部署HTTPS加密自动化网关即可。
我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书的中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有2家是专门签发证书的CA机构,其余都是全球知名的互联网巨头和云服务提供商。
如下表7所示,本次列入统计的本土SSL证书提供商有17家,都是拥有自主品牌的全球信任的SSL中级根证书的SSL证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这17家SSL证书提供商中有7家公司是CA机构,有3家是知名的云服务提供商,其他8家是商业公司。
而这17家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书。其他14家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods。
这17家国际SSL证书提供商签发的有效证书数合计为 135.3947 万张,比上一季度下降了 7.50%,对比全球数据增加了 18%,说明国内SSL证书提供商的市场份额在上一季度增长的情况下有所回落,这17家的总和在全球SSL证书提供商中排名仍然是第 14 位。本期虽然总数有下降,但是多家机构的增幅超过30%,有两家超过50%,这里面一定是在自动化证书管理方面的努力结果,值得点赞。对比上一季度数据,沃通CA上升了两位,合肥网盾上升了一位,零信证签的回落是由于修改了零信网关的自动化证书更新周期由原先的每天更新改为了正常的每90天更新,腾讯云上升了两位意味着开始发力SSL证书自动化管理。
本期合计统计 1,353,947 张SSL证书中各种类型的占比数据如下表8所示,DV SSL证书占比高达 97.76%,这个比例比全球市场的DV SSL证书的占比91%高出不少,这说明了我国用户比全球用户更加喜欢无需提供任何身份证明材料的DV SSL证书,因为目前用户不愿意提供身份认证材料给国外CA,认证审核时间长和存在数据出境管理风险,这也可能是政府用户选择向国内CA申请OV/EV SSL证书的主要原因。
本期发布的商密SSL证书数据来自零信国密证书透明日志系统(sm2ct.cn)和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的商密SSL证书数据仅供参考。合计 29758 张,比上一季度增长了 128%,连续8个季度持续快速增长,这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,增长最多的是网银系统用国密SSL证书,其次是政府网站和政务服务系统。
本季度新增一家CA机构-上海CA签发的国密SSL证书支持国密证书透明标准草案,希望更多了零信浏览器信任的CA机构签发的国密SSL证书支持国密证书透明,一旦有3家CA机构签发的国密SSL证书支持国密证书透明标准草案,本报告将像国际SSL证书一样列表排名各个商密SSL证书提供商签发的商密SSL证书,以帮助用户在选购商密SSL证书时优先选择支持国密证书透明的商密SSL证书提供商,从而保障用户自身的合法权益和网站安全。证书透明,向全世界告白-这张证书是我签发的,能大大提升SSL证书提供商的品牌知名度!
我们希望有更多机构,包括国家相关管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的商密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,商密SSL证书的签发统计数据才是真实的数据,商密SSL证书才能真正保障其自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。
2023年Q3报告增加我国二十大银行域名的SSL证书申请量统计数据,考虑到SSL证书有效期为一年,所以决定银行SSL证书数据每年发布一次。2024年Q3统计数据时间为2023年Q4至2024年Q3,如下表9所示,这20家银行名单来自中国银行业协会2023年8月发布的年度“中国银行业100强榜单”,有些银行不止一个域名,为了统计方便只采用了其中一个主要域名的统计数据。由于SSL证书提供商有很多家,鉴于表格宽度有限,我们仅列出了市场份额排名的前两名,正好一家是美国CA,一家是中国CA,其他家的数据统一合并在“其他CA”中,这些“其他CA”基本上都是国外CA,所以,同美国CA一起统计在“国外CA%”中。
从统计数据可以看出:我国二十大银行的网银系统用SSL证书申请量在过去的一年增长了17.54%,特别是排名第一位的工商银行,增长了26.93%(增加了181张),对比同等规模的美国银行,其SSL证书申请量为3102张,这只能说明工商银行仍然还有很多系统可能还没有部署SSL证书。而对于国密SSL证书的部署,只有40%的银行的部分系统实现了国密HTTPS加密,并且只有一家银行官网启用了国密HTTPS加密。这个比例远低于某省城商行的国密SSL证书部署情况(高达80%)。据了解,这些小规模的城商行都是采用联盟方式由一个公司负责建设和维护网银系统,这的确是一个非常经济实用的解决方案。
为何60%的银行在这一年内并没有完成国密HTTPS加密改造任务呢?为何第二大银行还有些系统仍然没有启用HTTPS加密?原因只能是一个:人工手动部署SSL证书实现HTTPS加密太难了,国密HTTPS加密改造太难了。而将近一半的银行部署的是在多个系统共享使用同一密钥的通配SSL证书,这是很不安全的部署方式,这个也间接反映了网银系统在实现HTTPS加密时面临了诸多难题。这些难题其实是可以通过部署国密HTTPS加密自动化网关来解决的,自动化配置双算法SSL证书,自动化完成所有网银系统国密改造,使得所有网银系统能以独享证书密钥方式来实现可靠的持续不间断的国密HTTPS加密。
国家金融监督管理总局在9月14日印发了《关于加强银行业保险业移动互联网应用程序管理的通知》(以下简称《通知》),这个通知要求银行业保险业必须完成移动APP的网络安全、数据安全、业务连续性及个人信息保护等方面的整改工作,这个整改工作的核心是移动APP必须像浏览器一样严格验证与网银系统部署的SSL证书,并且必须尽快采用HTTPS加密自动化解决方案,来可靠地保障移动APP与网银系统的HTTPS加密通信安全,以同时满足四部委在7月份发布的《互联网政务应用安全管理规定》的合规要求。
本期报告在国庆节假期完成,本期小结主题为:国密保国安,国安享太平。只有普及应用商用密码才能保障我国网络空间安全,只有普及应用国密SSL证书实现国密HTTPS加密,才能保障我国网站系统安全,这是网络空间安全的基础安全保障,所以保障了网站安全也就是保护了国家安全,因为“没有网络安全就没有国家安全”。而只有保障了国家安全,才会有小家的岁岁年年享受太平盛世,才能享受畅游美好的祖国山山水水。
为了国家的长治久安,密码人和网安人大家继续齐加油!祝大家有一个美满的国庆假期。