笔者在去年12月9日发表了博文《我国SSL证书市场增长迅猛,但差距还很大》,受到了广大读者的欢迎,各种媒体和相关单位官网也有大量转发,很多朋友建议我把这些需要更新的数据做成一个定期发布的简报,供相关政府部门和企业决策参考。笔者也认为这事很有价值,就决定从今年开始的每个季度结束后前三天内发布上一季度的分析报告,希望对我国SSL证书的产业发展和普及应用能起到积极推动作用,使得SSL证书能真正为保障我国电子政务系统和电子商务系统安全发挥最大的作用。
根据谷歌证书透明日志系统数据统计,截止到 2022年4月1日,全球有效SSL证书有 7.4278亿 张,同去年12月9日的数据基本持平,其中只验证域名的DV SSL证书 6.2533亿 张,占比 84.19%,同上期相比下降了1.72个百分点,说明用户开始认识到网站身份的重要,开始转向申请验证身份的OV SSL证书和EV SSL证书。验证网站身份的OV SSL证书有 1.1605亿 张,占比 15.62%,同上期数据相比上升了 1.63 个百分点。扩展验证网站身份的EV SSL证书 65.093万 张,占比 0.087%,同上期相比下降了13%,这个下降同所有浏览器不再显示EV SSL证书为绿色地址栏有紧密关系。而DV SSL证书中,免费的Let’s Encrypt DV SSL证书占比69.64%,同上期相比上升了7.87个百分点,这进一步说明了用户仍然是非常认可无需安装SSL证书的自动化部署方式。
由于DV SSL证书中没有国家字段,所以笔者无法直接从日志数据库中获取DV SSL证书中有多少张证书是中国用户申请的,争取以后有精力时把我国的IP地址编程扫描获得DV SSL证书的部署统计数据。但现在仍然只能比较SSL证书国家字段为CN的统计数据,也就是只能统计OV SSL证书和EV SSL证书的数据,笔者认为这两种证书的数据也能真实反映我国的SSL证书申请情况。
具体统计数据如下图所示,数字为SSL证书申请张数,以万为单位,排名第一的是美国,占全球的比例是 14.96%,第二是德国,占比 2.20%,第三位仍然是中国,占比 0.35%。同上期统计数据相比,美国增加了5.26个百分点,增长154%,这个数据是笔者人工剔除了CDN服务提供商Cloudflare的8399万张、微软云的919万张和思科物联网用的30万张后的数据,如果加上这些数据,那美国的总数据就高达 1.1亿 张,占比将高达 95.06%。这个数据虽然没有被笔者纳入统计比较表中,但是从另一侧面说明了物联网设备的SSL证书部署在美国得到了飞速发展,这非常值得我国的物联网学习和借鉴,目前我国的物联网设备基本上都还是http明文传输,非常不安全,非常容易遭遇攻击而使得物联网数据被非法窃取,甚至让物联网设备瘫痪,必须引起相关部门的高度重视!
而另一个必须引起注意的数据是我国的OV SSL证书和EV SSL证书申请量下降了 2.23%,这个数据也能从已经部署SSL证书的政府网站得到印证,有许多政府网站部署的是没有验证网站身份的DV SSL证书,这不利于防止政府网站的仿冒和其他攻击,这也值得相关部门高度重视。
同上期数据相关,我国同前两名的美国和德国差距还很大,并且有微小的加大!当然,也一定能让有心人看到这里面的商机!如果我国的SSL证书申请量能到达德国的水平,则还会增长6倍!也就是说,我国SSL证书市场机会巨大,可以说是一个正在快速增长的蓝海市场!
我国已经基本上实现了所有政务服务都上网办理的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的域名就能得到这个省的政府网站一共申请了多少张证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1639 张,比上期数据增长了 13.82%,增长势头还是不错的。排名前5位的是 浙江省、上海市、北京市、宁夏回族自治区、广西壮族自治区,上期排在第五名的广东省跌落到了第6名,这同各省市的GDP排名非常不同,说明了是否部署SSL证书与证书费用无关,因为2020年GPD排名29位的宁夏回族自治区的SSL证书申请量这次排名 第4位,只能说明该省非常重视密码合规和重视保护政务网站机密信息安全。
同上次统计数据相比,这次的数据中有 18 个省政府网站启用了https加密,上次的数据是 11 个,增长了 164%。更加可喜的是,中央人民政府网站www.gov.cn和国家密码管理局官官网www.sca.gov.cn也实现了全站https加密,这可是笔者吐槽了N年的事情终于可以改为点赞了。这有力说明了《密码法》的施行正在继续推动我国采用密码保护政务系统安全的步伐。
本期还有一个可喜的亮点数据,有两个省政府网站(江西省 和 安徽省)部署了RSA和SM2双算法SSL证书,实现了国密SM2算法https加密。其实,这两个省的国密SSL证书都是在上次报告发布之前已经部署,只是当时笔者并没有用国密浏览器去访问,这次是笔者使用了内测中的支持国密算法并优先使用国密算法的 零信浏览器 访问了各个省的政府网站,才发现了这个可喜的数据。如果用户使用谷歌浏览器是发现不了这个数据的,因为谷歌浏览器不支持国密算法,会自动采用RSA算法同网站实现https加密,用户就不可能知道这个网站已经同时部署了国密SSL证书。
笔者作为部署双算法SSL证书的“发明者”和“倡导者”,看到这两个省政府网站部署了双算法SSL证书时非常高兴和非常欣慰,特多写几句大力推荐这种部署方式,希望有更多的政府网站能部署双SSL证书,让国密算法和国密SSL证书能真正发挥作用来保障我国电子政务网站的安全,同时实现全球信任和国密合规,既能最大程度地方便全球互联网用户使用任何浏览器的https访问,也能自动做到某种极端情况发生时能有效地把对政务网站https加密的影响降到最低。笔者认为这是本次报告的最大亮点。
为了让大家能直观地了解我国政府网站的SSL证书申请数量是多还是少,我们仍然同时检索了港澳台地区的SSL证书申请量,如下表所示。这次增加了对我国政府域名*.gov.cn的检索,因为上面的数据只是各省级政府域名的数据,并没有省会城市和地县级市的政府域名的统计数据。
可以看出,我国所有.gov.cn网站申请SSL证书数量为 4212 张(不包括国密SSL证书),而根据中国互联网络信息中心2022年2月25日发布的第49次《中国互联网络发展状况统计报告》的数据,截至 2021 年 12 月,我国共有政府网站 14566 个,也就是说,只有平均 28.92% 的网站申请了SSL证书,考虑到有些网站不只申请了一张证书,所以已经申请了SSL证书的比例应该在 20% 左右,这个比例比5年前笔者做过的统计只有 3% 增长了不少,但是仍然还是很低。现在是几乎所有政务业务都要求上网办理,但是 80% 的网站还是没有部署SSL证书,则根本无法保证市民个人数据和企业商业数据的安全,并且这也已经严重违反了《密码法》、《数据安全法》和《个人信息保护法》等相关法律法规,必须引起有关部门的高度重视!
从本次数据同上次统计数据相比可以看到:虽然OV和EV SSL证书申请量稍有下降,但是这并等于总的申请量是下降的,从政府域名的申请量来看,已经增加了13.82%,属于两位数的增长,增长速度还是很乐观的。但是我们必须清醒地看到,我国在SSL证书普及应用方面离欧美国家仍然有很大的差距,仍然需要继续努力迎头赶上,特别是应该尽快实现国密SSL证书和RSA SSL证书的双证书部署,以应对目前复杂的国际环境。同时,还应该加强SSL证书在物联网安全的应用,改进和提升我国物联网的安全水平。