所有浏览器都对HTTP网站显示为“不安全”,因为HTTP是明文传输协议,从浏览器到服务器(云端)之间的信息传输是明文,非常容易被非法窃取和非法篡改。唯一可行的技术措施是HTTPS加密传输,在服务器部署SSL证书实现HTTPS加密,这是网站安全的基础和必须。而为了保障SSL证书本身的安全,国际标准保障措施是每一张用于HTTPS加密的SSL证书都必须在签发之前到指定的证书透明日志服务系统去做签发备案,并把备案签名数据写入SSL证书中,只有这样,浏览器才会信任这张SSL证书,才可以用这张SSL证书实现HTTPS加密。证书透明机制就是为了保障SSL证书本身的安全,这是互联网安全的基础。
国际证书透明机制已经累计成功保障了74亿多张的全球信任的国际SSL证书的安全可信,我国正在大力推广国密SSL证书实现国密HTTPS加密的普及应用,以应对目前非常不确定的国际环境对我国互联网带来的安全威胁。我国也必须有自己的国密证书透明机制来保障国密SSL证书的安全,从而保障国密HTTPS加密的安全,进而可靠地保障我国网站和互联网安全。
国密HTTPS加密安全的前提是国密证书透明,即采用国密算法实现的证书透明日志系统,只有每一张国密SSL证书都国密证书透明了,才能保障国密SSL证书本身的安全。国密HTTPS加密、国密证书透明机制,连同我国目前已经实施的网站备案机制、域名注册实名制一道形成一个从域名注册(网站诞生)到网站运营再到网站安全(加密)的完整的网站安全保障体系,将真正有力保障我国网站和互联网的安全可控,各个环节缺一不可。
国密证书透明机制的主要技术和管理优势有如下三点:
目前,只有零信技术成功研发并可靠地运行了3个国密证书透明日志系统,也只有零信浏览器支持国密证书透明安全机制检查,也只有证签技术和零信技术签发的国密SSL证书已经内置证书透明签名数据(SCT),这是远远不够的!笔者呼吁国家密码主管部门尽快建立一个国家级的国密证书透明日志系统,从国家安全高度来重视和建设运维国家级国密证书透明系统。同时,呼吁各大国密浏览器支持国密证书透明机制,呼吁各个有能力签发国密SSL证书的CA机构尽快把签发的每一张国密SSL证书都实现国密证书透明。只有这样,才能建立起一个强大的国密证书透明机制生态系统,才能真正让国密证书透明发挥更大的安全保障作用,从而真正切实保障我国互联网安全。