本次发布的是定期发布的今年第三季度分析报告,希望对我国国密SSL证书的产业发展和普及应用能起到积极推动作用,使得国密SSL证书能真正为保障我国电子政务系统和电子商务系统安全发挥最大的作用。本期报告增加了国密证书透明相关信息。
根据谷歌证书透明日志系统数据统计,截止到 2022年9月30日,全球有效SSL证书有 8.1803亿张,同第二季度的数据相比增长了 4.53%,其中只验证域名的DV SSL证书 6.9045亿 张,占比 84.40% 略有上升。验证网站身份的OV SSL证书有 1.2697亿 张,占比 15.52%,总量有上升但同上期相比的占比略有下降。扩展验证网站身份的EV SSL证书 56.979万 张,占比 0.07%,同上期相比下降了 12.86%,3个季度持续下降,这个下降同多家浏览器不再显示EV SSL证书为绿色地址栏有密切关系,希望零信浏览器的绿色地址栏的强势回归能对提升用户对EV SSL证书的购买信心起到促进作用。而DV SSL证书中,免费的Let’s Encrypt SSL证书占比69.23%,同上期相比略有下降。从连续的3个季度的数据来看,用户喜欢免费SSL证书和喜欢的自动化部署SSL证书的趋势仍然未变。
由于DV SSL证书中没有国家字段,所以笔者无法直接从证书透明日志数据库中获取DV SSL证书中有多少张证书是中国用户申请的,目前还没有精力把我国的IP地址和域名编程扫描获得DV SSL证书的部署统计数据。所以,现在仍然只能比较SSL证书国家字段为CN的统计数据,也就是只能统计OV SSL证书和EV SSL证书的数据,笔者认为这两种证书的数据也能真实反映我国的SSL证书申请情况。
具体统计数据如下图所示,数字为OV SSL证书和EV SSL证书申请张数,以万为单位,排名第一的是 美国,占全球的比例是 75.21%,第二是 德国,占比 11.99%,第三位仍然是 中国,占比 1.81%。同上期统计数据相比,美国上升了10.26%,德国下降了0.80%,中国增长了0.34%,其他国家中只有芬兰有正增长,其余所有国家全是负增长,这与全球能源危机和粮食危机对这些国家的经济影响是大致相同的,说明经济情况影响了用户的SSL证书购买力。但是,Q3证书总量还是在增长的,说明了有些用户改用了便宜甚至免费的DV SSL证书。请注意,本期统计仍然是剔除物联网用的OV SSL证书,其中包括CDN服务提供商Cloudflare的8950万张、微软云的1433万张、IdenTrust的171万张和思科的39万张。这个数据虽然没有被笔者纳入统计比较表中,但是从另一侧面说明了物联网设备的SSL证书部署在美国得到了飞速发展,这非常值得我国的物联网学习和借鉴,目前我国的物联网设备基本上都还是http明文传输,非常不安全,非常容易遭遇攻击而使得物联网数据被非法窃取,甚至让物联网设备瘫痪,必须引起相关方的高度重视,必须尽快普及应用SSL证书来保障物联网安全!
同上期数据相比,我国同前两名的美国和德国差距还很大,但有微小的增长!我国的网站数量基本上同美国的网站数量持平,但是SSL证书部署量却只是美国的 2.4%,差距非常大!也就是说,我国SSL证书市场机会巨大,可以说仍然是一个正在快速增长的蓝海市场!
我国已经基本上实现了所有政务服务都上网办理的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的域名就能得到这个省的政府网站一共申请了多少张证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1620 张,比上个季度增长了 4.92%。但是,有13个省市是同比下降的,其余增长的省市中有3个省市增幅超过50%,其中北京市增长最快,一跃到了第二位,江苏省从第30位升到第25位,河南省从第25位升到第18位,说明这几个省加强了密码合规建设和重视保护政务网站机密信息安全。排名前5位的是 浙江省、北京市、上海市、广东省、广西壮族自治区。
31个省市自治区省级政府官网启用国密SSL证书只有江西省政府官网,继续特别表扬点赞。对于省政府官网是否有云WAF防护这一项,31个省市自治区中只有5个省政府网站有安全防护,这方面也还有很大的提升空间,因为一个网站的安全光有https加密是不够,还需要有云WAF防护。当然,我们无法知道这些网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计还增加一个“安全评级”项,这个评级数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
为了对比我国政府网站同美国政府网站的差距,我们检索了所有*.gov.cn的SSL证书申请量为 4371 张,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1620张。而根据中国互联网络信息中心2022年2月25日发布的第49次《中国互联网络发展状况统计报告》的数据,截至 2021 年 12 月,我国共有政府网站 14566 个,也就是说我国政府网站的SSL证书申请比例只有 30%。
我们同时检索了美国政府网站专属域名*.gov的SSL证书申请量为 2634 张,根据可靠统计数据(来源:www.digitaldashboard.gov),美国联邦行政部门总数为152个,提供公共服务器的网站总数为 1332 个,这说明不仅每个公共服务网站都部署了SSL证书,而且其他不在统计的部门和非公共访问的系统也都申请了SSL证书(包括内网内部系统)。美国政府网站不仅仅 100% 都已经部署了SSL证书,而且根据美国《联邦零信任战略》要求所有网站必须实现强制https加密,目前这个强制实现的比例是 77%,也就是有1030个网站已经实现了强制https加密,不支持http明文访问。
同上次统计数据相比,这次的数据中有 22 个省政府网站启用了https加密,上次的数据是 19 个,增长了 3 个,也就是启用https加密的比例已经达到 71%,但是这些已经启用https加密的网站中仍然有部分网站支持不加密的http明文方式访问,仍然值得改进。第二亮点是有5个省政府网站和中央政府网站(www.gov.cn)启用了云WAF防护,能有效保障政府网站的安全,能有效解决政府网站被挂马、植入后门和网页被篡改等攻击问题,这也是等保合规的要求。根据Gartner的预测数据,未来两年70%网站都会采用云WAF防护,希望在下一季度的分析报告中能看到更多的省政府网站采用云WAF防护,有效保障电子政务系统的安全。
上面我们对比了我国政府网站同美国政府网站的SSL证书申请量,差距还是很大的。我们同时还检索了港澳台地区的SSL证书申请量,如下表所示。我国大陆各省市所有政府网站合计证书申请量为 4371 张。虽然比上季度增长了 2.90%,但对比港澳台的数据还是很少的,这从另一个方面说明了我国大陆地区的政府网站还需要进一步增强安全防护意识,在已经普及一网通办的基础上扎实做好网站安全防护工作,只有这样才能为老百姓提供更好更安全的电子政务服务,希望有关部门能高度重视网站安全的同步建设工作。
我们很遗憾的看到本季度只有一个省启用了国密https加密,这一点也值得相关密码管理部门的高度重视。在目前非常不确定的国际环境下,尽快部署国密SSL证书尤为重要,因为已经有了前车之鉴—俄乌冲突发生后的十天内俄罗斯政府网站和银行网站等重要网站的RSA SSL证书被吊销了3千多张,导致大量的政府网站和银行网站不能正常访问。我国政府网站和其他关键信息基础设施网站必须未雨绸缪,不仅仅是要尽快部署SSL证书,而且是要尽快部署国密SSL证书,以确保重大突发事件发生时能保证政府网站、银行网站等关键信息基础设施网站的正常加密运行。当然,为了确保用户能使用任何浏览器都能正常访问政府网站,必须部署双SSL证书,实现自适应https加密。我们同时呼吁我国用户尽快使用支持国密SSL证书的国密浏览器,以实现即使RSA SSL证书被非法吊销,由于实际上是国密SSL证书在起加密作用而不会有任何影响,确保了用户可靠地访问政府网站。
我们同时呼吁所有国密SSL证书应该尽快支持国密证书透明,以确保能及时发现用于恶意攻击签发的国密SSL证书或者草率错误签发的国密SSL证书,从而保障国密https加密安全。零信浏览器会提醒用户访问的国密https加密是否支持国密证书透明。
第三季度的统计数据同第二季度的统计数据相比可以看到:我国的OV SSL证书申请量有所上升,同时政府网站总的证书申请量也是增长的。同时,我们还发现已经有5个省政府和中央政府网站启用了云WAF防护,这有力提升了政府网站的安全水平。但是,我们必须清醒地看到,我国在SSL证书应用和云WAF防护应用方面离欧美国家仍然有很大的差距,仍然需要继续努力迎头赶上。现在是几乎所有政务业务都要求上网办理,但是将近 70% 的网站还是没有部署SSL证书,则根本无法保证市民个人数据和企业商业数据的安全,并且这也已经严重违反了《密码法》、《网络安全法》、《数据安全法》和《个人信息保护法》等相关法律法规,必须引起有关部门的高度重视!
虽然部署国密SSL证书才刚刚起步,但是国密SSL证书必须尽快普及支持国密证书透明,因为证书透明机制已经成功保障了全球74亿张国际SSL证书的安全,国密SSL证书当然不能例外!我国必须借鉴这个成功经验高标准高起点发展和普及国密SSL证书,以确保国密https加密安全,从而有力切实保障我国互联网安全。