首页 > CEO博客

内网SSL证书可信根认证计划,共同保障内网流量安全
2024年4月24日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

所谓内网,就是不能通过公网访问的单位内部网络,内网有许多Web系统仅限于内网用户访问,大家往往认为在内网访问是安全的,无需HTTPS加密。但是,对数据安全有更高要求的政府单位和大型企业IT主管们已经认识到内网Web系统也需要HTTPS加密,也就是需要申请SSL证书和部署SSL证书来实现HTTPS加密。

但是,国际标准不允许CA机构签发包含内网IP地址和内部名称的SSL证书,因为此类名称和IP地址无法根据相关验证标准进行验证。也就是说SSL证书如果绑定了谁都可以随便使用的内部IP地址,CA无法验证用户对这个内部IP地址的控制权和使用权,无法验证就不能签发包含这个IP地址的SSL证书,这是签发SSL证书的基本要求。怎么办?大家只好用自签证书,而自签证书所有浏览器都不信任,会有安全警告,用户只好忽略安全警告而信任自签证书,但是这个习惯一旦养成,则会给假冒网站使用自签证书埋下了安全隐患,这也不是一个好办法。怎么办?

零信技术提出了一个创新解决方案,不仅已经开始签发证签品牌内网SSL证书,而且零信浏览器信任签发此内网SSL证书的RSA算法根证书和SM2算法根证书,使得用户可以无缝地使用内网SSL证书实现内网Web流量的HTTPS加密。同时,我们把这个解决方案分享给全球CA机构,让全球CA机构都能为其用户签发有浏览器信任的内网SSL证书,彻底帮助用户从自签SSL证书的浏览器安全警告的困境中解脱出来,不仅解决了用户的难题,而且也给CA机构带来了新的利润增长点。

1. 什么是内网SSL证书?

内网SSL证书是指SSL证书的“使用者可选名称(Subject Alternative Name)”字段包含了内部名称和/或保留IP地址的SSL证书,内部名称和保留IP地址(或称内网IP地址、内部IP地址)遵循SSL证书基线要求国际标准BR 1.6.1中的定义。

  • 保留IP地址:包含在任一IANA注册管理机构中任何条目的地址块中的 IP v4IP v6 地址。
  • 内部名称:SSL证书的“公用名称”或“使用者可选名称”字段中的一串字符(不是 IP 地址),在颁发证书时无法验证为公共 DNS 中的全局唯一,因为它不以在 IANA 根区数据库中注册的顶级域名结尾。简单讲就是指非公网域名。

2. 内网SSL证书的基线要求

国际标准为何不允许CA签发内网SSL证书,就是因为无法验证。零信浏览器是如何解决这个难题的呢?零信技术经过深入研究和实际证书签发实验,制定了如下的内网SSL证书基线要求。

  • 内网SSL证书的“使用者(Subject)”字段或称“公用名称(Common Name)”必须是公网域名(FQDN),不得包含内部名称或保留IP地址,此公网域名用于CA验证此内网SSL证书的所有权,CA必须按照国际标准TLS BR的第 3.2.2.4 节或第 3.2.2.5 节要求完成域名控制权验证。这个要求解决了内网SSL证书包含的内网IP地址无法验证的问题。
  • 内部名称或保留IP地址只能包含在SSL证书的“使用者可选名称”字段中,CA无需验证这些内部名称和保留IP地址。但CA必须依据TLS BR标准验证“使用者可选名称”字段中所有包含的公网域名和公网IP地址。这个要求就解决了内网SSL证书如何包含内部名称和保留IP地址的问题。
  • 内网SSL证书有效期可以是1-5年。这个也是考虑到内网是相对比较安全的仅供内部人员访问的系统,有内网安全防护系统的保护,能确保证书私钥在5年内使用是安全的。这就大大方便了用户一次安装SSL证书,5年内都不用再去费力向CA申请和安装SSL证书。
  • 鉴于目前只有零信浏览器信任的3个证书透明日志系统支持内网SSL证书,证书有效期小于或等于180天的内网SSL证书必须包含1个零信浏览器信任的证书透明SCT数据,大于180天的内网SSL证书必须包含2个SCT数据。如果以后市场上有更多的证书透明日志系统支持内网SSL证书,并通过零信浏览器认证和预置信任,则更新实施内网SSL证书证书透明策略同公网SSL证书政策。
  • 内网SSL证书其他技术要求同公网SSL证书相关国际标准和国密标准。

3. 零信浏览器是如何验证内网SSL证书的?

如果只是CA能签发内网SSL证书而没有浏览器信任是行不通的,还需要有浏览器像处理公网SSL证书一样严格验证内网SSL证书,不仅有内网SSL证书信任根认证计划,最关键的是必须像公网SSL证书一样的支持证书透明,向全球公示每一张签发的内网SSL证书,只有这样才能保障内网SSL证书的自身安全可信。

所以,零信浏览器不仅有内网SSL证书信任根认证计划,制定了签发内网SSL证书的基线技术要求,而且免费开放零信国密证书透明日志系统给所有通过认证的CA机构,使其能像签发公网SSL证书一样提交预签证书到证书透明日志系统获取证书透明日志签名数据,并把日志签名数据写入到内网SSL证书中,让全球用户可以像监督公网SSL证书签发行为一样监督内网SSL证书的签发行为。零信浏览器只信任内嵌了零信浏览器信任的证书透明日志系统签名的SCT数据的内网SSL证书,保障所有内网SSL证书用户的合法权益。

由于谷歌浏览器信任的证书透明日志系统不支持内网SSL证书,所以,CA目前只能使用零信国密证书透明日志系统,日志签名算法采用SM2算法,CA机构无论是签发RSA/ECC算法SSL证书还是SM2算法SSL证书,都提交到采用SM2算法的证书透明日志系统获取日志签名数据。CA如果不知道如何解析返回的SCT数据,也可以不用关心,只需把SCT数据写入证书中即可。当然,在正式颁发内网SSL证书之前,必须部署内网SSL证书并使用零信浏览器访问是否可信和是否正常解析和显示证书透明日志信息。如下左图所示,零信浏览器显示SSL证书的算法为SM2,证书透明日志签名算法为SM2,这表明这张SM2内网SSL证书已经正确内嵌SM2签名SCT数据。如下右图所示,零信浏览器显示SSL证书的算法为RSA,证书透明日志签名算法为SM2,这表明这张RSA内网SSL证书已经正确内嵌SM2签名SCT数据。

内网SSL 内网SSL

零信国密证书透明日志系统同时支持RSA、ECC和SM2三种算法的SSL证书,零信技术不计划单独为RSA/ECC算法内网SSL证书设立一个ECC算法的证书透明日志系统,统一使用零信国密证书透明日志系统。欢迎CA机构运营一个专用于内网SSL证书的ECC算法证书透明日志系统,零信浏览器将在测试合格后快速预置信任,这样全球CA签发的RSA/ECC算法内网SSL证书有ECC算法证书透明日志系统可用了。

零信浏览器除了验证内网SSL证书是否可信、是否支持证书透明外,还会根据不同的证书类型展示不同的地址栏UI。但是,用于公网SSL证书的证书类型国际OID无法用于内网SSL证书,所以,零信浏览器指定了4个OID用于分别标识内网SSL证书类型,具体如下表所示。如果内网SSL证书中不包含这些证书类型OID,则默认UI为内网DV SSL证书,显示T1认证标识。

证书类型
证书类型OID
零信浏览器地址栏UI展示效果
内网DV SSL证书
1.2.156.157933.81
内网DV SSL
内网IV SSL证书
1.2.156.157933.82
内网IV SSL
内网OV SSL证书
1.2.156.157933.83
内网OV SSL
内网EV SSL证书
1.2.156.157933.84
内网EV SSL

4. 欢迎全球CA申请内网SSL证书可信根认证计划,共同保障全球内网Web流量安全。

内网流量安全需要内网SSL证书,更需要有浏览器信任CA签发的内网SSL证书,也需要有签发内网SSL证书的基线要求,这就是零信浏览器内网SSL证书可信根认证计划。

欢迎全球CA 申请 零信浏览器内网SSL证书可信根认证,预置内网SSL证书专用根证书(RSA/ECC/SM2),为全球用户签发内网SSL证书,共同保障全球用户的内网Web流量安全。