我国做好SSL证书“断供”的准备了吗？2022年11月4日

今年2月24日发生了俄乌冲突，大量俄罗斯政府网站和银行网站的RSA 算法SSL证书被吊销或断供。3月3日Sectigo停止签发证书，3月12日DigiCert停止签发证书，其他CA也纷纷停止签发证书，停止签发证书就是“断供”，就是网站无法实现https加密了！同时，从2月27日开始，Sectigo开始吊销已经签发的SSL证书，13天内共吊销1576张证书，DigiCert 2月28日开始，共吊销了1266张证书。吊销证书就是禁用！以前已经签发给你的证书禁止使用！断供只是不再供货，而吊销则是即使供了货也不让用！

下图为笔者在2019年8月20日的 第七届互联网安全大会 的演讲的一页，当时笔者就提出了我国必须做好SSL证书“断供”的准备的观点。当时就有人说这不可能发生，但是现在真实地发生在俄罗斯！这不得不值得我们深思和警醒！

俄乌冲突给我国的安全启示是方方面面的，而在互联网安全特别是网站安全方面，RSA 算法SSL证书被吊销或断供，这给我国互联网安全，特别是关键信息基础设施安全敲响了警钟，我国必须快速进入国密HTTPS加密时代，以应对非常不确定的国际形势，保障我国互联网安全。

普及国密HTTPS加密不仅仅是应对国际形势的需要，而且也是《密码法》和《网站安全法》合规的需要，也许有读者认为现在的网站安全国密应用生态还不成熟，无法满足普及国密HTTPS加密的应用需求，本文就专门讲一讲这个错误认识问题。

要实现HTTPS加密，必须有CA签发SSL证书，并且必须支持证书透明，必须有浏览器信任签发SSL证书的根证书，有Web服务器支持签发这张SSL证书采用的加密算法，还必须有支持这种加密算法的浏览器可以用HTTPS加密协议实现安全的网页访问。也就是说，只有浏览器(包括移动App)、SSL证书和Web服务器都支持国密算法，才能实现国密HTTPS加密。当然，还需要CDN和云WAF服务提供商也支持国密SSL证书和国密算法。必须是整个Web生态都支持国密算法。笔者明确地告诉大家，这个国密https加密生态现在已经成熟了，是时候普及国密HTTPS加密了！

对于国密https加密，考虑到用户体验，网站不能要求用户指定使用国密浏览器来访问，所以，最佳方案是网站部署双SSL证书(一张国密SSL证书和一张国际SSL证书)，目前市场上的国密浏览器都是支持双证书自适应加密的，零信浏览器优先采用国密算法实现HTTPS加密，只有在网站没有部署国密SSL证书的情况下才使用RSA算法实现HTTPS加密。 为了让大家能体验双SSL证书部署是什么效果，我们部署了测试网站：https://sm2test.cersign.cn，请读者分别使用零信浏览器和其他浏览器访问这个国密https加密测试网站，会看到零信浏览器优先使用国密加密，并在地址栏显示国密加密标识 。用户可以在此网站下载完全免费的Nginx国密模块，只需重新编译Nginx就可以支持国密SSL证书和国密算法。同时，读者还可以申请完全免费的90天有效期的免费国密SSL证书用于体验双证书部署的奥妙！

鉴于国密改造涉及面非常广和难度大，零信技术联合阿里云创新打造了零改造的国密https加密云服务--零信网站安全云服务，无需向CA申请国密SSL证书和国际SSL证书，无需在服务器上安装SSL证书，无需改造web服务器，只需做3次域名解析，把原网站变成CDN的源站就可以10分钟内实现国密HTTPS加密，而提供CDN+WAF服务的是业界领先的阿里云，零信技术基于阿里云CDN提供的API为用户全自动配置国密SSL证书和国际SSL证书到阿里云CDN中，快速实现HTTPS加密的国密合规和全球信任，快速实现网站云WAF防护，快速实现高速内容分发。

请读者分别使用零信浏览器和其他浏览器访问零信官网：https://www.zotrus.com，该网站就是一个零信网站安全云服务实现的国密https加密真实案例，用户使用零信浏览器访问会优先使用国密算法实现国密https加密，并在地址栏显示国密加密标识 ，还会看到地址栏有一个 标识，表示此网站已经启用了云WAF防护，如下左图所示。如果用户使用其他不支持国密算法和国密证书透明的浏览器访问，则会采用ECC算法实现https加密，如下右图所示。

相信大家从以上的国密生态厂商列表和零信技术的https加密解决方案可以看出，我国在国密https加密的技术和产品上已经准备好了！万事俱备，就差用户马上行动这一步了，必须马上行动起来，以确保所有网站在目前不确定的国际环境中的HTTPS加密安全可控，特别是政府网站和金融网站，确保即使国际SSL证书被“断供”或被“吊销”也不会影响用户正常访问网站系统。

最后，请大家看看两个真实部署的国密https加密案例，一个是省级政府官网，一个是中国银行的网银系统。