本报告从本期开始改由零信技术 零信任安全研究院 发布,仍然在零信官网CEO博客栏目和零信任安全研究院微信公众号:zotrusi 同时上线发布电子版。
本次发布的是定期发布的2022年第四季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书。本次简报首次发布了国密SSL证书的签发数据,同时增加了国际SSL证书的国内供应商签发的国际SSL证书的统计数据。希望这些数据能为相关政府机构和商业机构的相关决策提供真实数据参考。
根据谷歌证书透明日志系统数据统计,截止到 2022年12月31日,全球有效SSL证书有 8.0213亿 张,同第三季度的数据相比减少了 2%,其中只验证域名的DV SSL证书 6.7224亿 张,占比 83.81% 略有下降。验证网站身份的OV SSL证书有1.2930亿 张,占比 16.12%,总量有上升和同上期相比的占比也略有上升。扩展验证网站身份的EV SSL证书 54.929万 张,占比 0.07%,同上期相比下降了 3.6%,4个季度持续下降,这个下降同多家浏览器不再显示EV SSL证书为绿色地址栏有密切关系,希望零信浏览器的绿色地址栏的强势回归能对提升用户对EV SSL证书的购买信心起到促进作用。而DV SSL证书中,免费的ACME自动化管理的SSL证书总量为 6.8384亿 张,占比 85.25%,这是由于有多个云服务提供商都支持了自动化证书管理,而不仅仅是Let’s Encrypt一家,从连续的4个季度的数据来看,SSL证书的自动化管理已是大势所趋,全球SSL证书中自动化管理的比例已经超过85%!
由于DV SSL证书中没有国家字段,所以笔者无法直接从证书透明日志数据库中获取DV SSL证书中有多少张证书是中国用户申请的,目前还没有精力把我国的IP地址和域名编程扫描获得DV SSL证书的部署统计数据。所以,现在仍然只能比较SSL证书国家字段为CN的统计数据,也就是只能统计OV SSL证书和EV SSL证书的数据,笔者认为这两种证书的数据也能真实反映SSL证书申请情况。
具体统计数据如下图所示,数字为OV SSL证书和EV SSL证书总申请张数,从本期开始不再单独分别列出OV SSL证书和EV SSL证书,以万为单位,排名第一的是 美国,占全球的比例是 75.97%,第二是 德国,占比 11.99%,第三位仍然是 中国,占比 1.81%。同上期统计数据相比,美国略有上升%,德国下降了6.80%(有点大),而中国增长超过20%,其他国家中同上期数据对比有9个国家是正增长,其余国家是负增长,这与全球能源危机和粮食危机对全球经济的影响是大致相同的,说明经济情况影响了用户的SSL证书购买力。请注意,本期统计仍然是剔除物联网用的OV SSL证书,其中包括CDN服务提供商Cloudflare的8638万张、微软云的1957万张、思科的46万张。这个数据虽然没有被笔者纳入统计比较表中,但是从另一侧面说明了云服务和物联网设备的SSL证书部署在美国得到了飞速发展,这非常值得我国的云服务提供商和物联网学习和借鉴,目前我国的物联网设备基本上都还是http明文传输,非常不安全,非常容易遭遇攻击而使得物联网数据被非法窃取,甚至让物联网设备瘫痪,必须引起相关方的高度重视,必须尽快普及应用SSL证书来保障物联网安全!
同上期数据相比,我国同前两名的美国和德国差距还很大,但增长速度较快!我国的网站数量基本上同美国的网站数量持平,但是SSL证书部署量却只是美国的 2.84%,差距非常大!也就是说,我国SSL证书市场机会巨大,可以说仍然是一个正在快速增长的蓝海市场!
我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的域名就能得到这个省的政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1696 张,比上个季度增长了 4.69%。但是,有9个省市是同比下降的,其余增长的省市中黑龙江省增幅超过50%,广西、河南、福建、江苏、新疆、内蒙古的排名上升了一位,江西上升了两位,黑龙江上升了3位,陕西上升了4位,说明这些省加强了密码合规建设和重视保护政务网站机密信息安全。排名前5位的是 浙江省、北京市、上海市、广西壮族自治区、广东省。
31个省市自治区省级政府官网启用国密SSL证书只有江西省政府官网和安徽省政府官网,继续特别表扬点赞。对于省政府官网是否有云WAF防护这一项,31个省市自治区中只有5个省政府网站有安全防护,这方面也还有很大的提升空间,因为一个网站的安全光有https加密是不够,还需要有云WAF防护。当然,我们无法知道这些网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计还增加一个“安全评级”项,这个评级数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
为了对比我国政府网站同美国政府网站的差距,我们检索到所有 *.gov.cn 的SSL证书申请量为 4280 张,同上期相比下降了 2.08%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1696张。而根据中国互联网络信息中心2022年8月31日发布的第50次《中国互联网络发展状况统计报告》的数据,截至 2021 年 12 月,我国共有政府网站 14566 个,也就是说我国政府网站的SSL证书申请比例只有将近 30%。
我们同时还检索了港澳台地区的SSL证书申请量,如下表所示。我国大陆各省市所有政府网站合计证书申请量为 4280 张,对比港澳台的数据还是很少的,这从另一个方面说明了我国大陆地区的政府网站还需要进一步增强安全防护意识,在已经普及一网通办的基础上扎实做好网站安全防护和数据加密保护工作,只有这样才能为老百姓提供更好更安全的电子政务服务,希望有关部门能高度重视网站安全的同步建设工作。
从本期开始,增加本土国际SSL证书提供商的证书签发数量统计数据,这些数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书签发中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为 “SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有2家是专门签发证书的CA机构,排名第一、第二、第四、第六、第八位都是全球知名的互联网巨头。
本次列入统计的本土SSL证书提供商有20家,都是拥有自主品牌的全球信任的SSL中级根证书的证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这21家SSL证书提供商中有7家公司是CA机构,有3家是知名的云服务提供商,有1家是电信运营商,其他10家都是商业公司。
而这20家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书(下表中表示为“+”)。其他18家证书提供商的SSL证书都是国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods。
这20家国际SSL证书提供商签发的有效证书数合计为 286.6624万 张,总和在全球SSL证书提供商中排名第 11 位,前10位分别是Let’s Encrypt (4.4584亿张)、Cloudflare (8641万张)、DigiCert (4459万张)、谷歌 (4361万张)、Sectigo (4347万张)、亚马逊 (3896万张)、cPanel (3047万张)、微软 (2170万张)、ZeroSSL (1685万张)、GoDaddy (1021万张)。至于这十大全球SSL证书提供商为我国网站签发了多少张SSL证书由于大量都是不含国家信息的DV SSL证书,所以无法统计,但可以肯定的是:我国本土SSL证书提供商所签发的SSL证书数量占比是非常低的,估计少于 10%。
从本期开始,除了增加本土国际SSL证书提供商的证书签发数量统计数据外,还对比增加我国国密SSL证书提供商的统计数据分析。我们认为:国际SSL证书的话语权在国外,所以我国本土国际SSL证书提供商受到了多重因数的制约而无法获得应有的品牌和市场份额,国际SSL证书只是为了兼容现在的基于RSA密码体系的系统的兼容而存在,真正的未来市场应该是我国自主密码算法的国密SSL证书,我国互联网安全应该也必须由国密SSL证书来保障,俄乌冲突导致的大量国际SSL证书的吊销和断供这种特大安全事件和教训不能也不应该在我国将来的某个时刻重演!我国SSL证书的未来主流产品应该是国密SSL证书。所以,从本期开始,本报告增加国密SSL证书的统计数据发布和分析。
国际SSL证书的统计数据全部来自谷歌证书透明日志系统,数据真实有保证,因为每一张国际SSL证书都必须到谷歌证书透明日志系统备案才被信任,而这些数据都是公开可以查询的,这就是上面的所有统计数据的可靠来源。但是,我国还没有建立国密证书透明体系,零信技术11月8日在乌镇2022世界大会发布的全球首个国密证书透明日志系统已于11月3日正式上线提供国密SSL证书透明日志服务。但是,目前只有证签技术和零信技术签发的国密SSL证书提交到了国密证书透明日志系统中,其他已经签发国密SSL证书的CA机构由于需要时间改造现有国密CA系统以支持国密证书透明,目前还没有提交到国密证书透明日志系统中,所以也无法获得各家CA机构签发的国密SSL证书的真实数量。
本次报告仅能提供国密证书透明日志系统(sm2ct.cn)提供的国密SSL证书数据和我们平时收集到的一些数据,合计 1000 张,其中国密证书透明日志中的数据是541张,估计其他CA机构签发的国密SSL证书数量有459张。此数据只有象征意义,2023年Q1报告计划发布由零信浏览器信任的10家CA机构各家通报的国密SSL证书数量,再加上国密证书透明日志中数据,下次的国密SSL证书的数量应该将是一个可信的数据。
目前,零信浏览器信任的国密根证书除了国家根和自家根外,CA机构有:贵州CA、数安时代、亚数信息、上海CA、中金认证、天威诚信、沃通CA、陕西 CA、网证通CA和四川CA,希望各家CA机构能尽快完成对接零信国密证书透明日志系统,从2023年7月1日起,零信浏览器会采用谷歌浏览器一样的证书透明策略,对没有在国密证书透明日志系统公开披露的国密SSL证书标记为不可信的SSL证书。
同上次统计数据相比,这次的数据中有 23 个省政府网站启用了https加密,上次的数据是 22 个,增长了 1 个,也就是启用https加密的比例已经达到 74%。但是,这些已经启用https加密的网站中仍然有部分网站支持不加密的http明文方式访问,仍然不能自动跳转到https加密方式访问,这使得部署的SSL证书并没有自动起到加密保护的作用,这个值得改进。
政务网站实现全站https加密非常重要,即使是仅发布公众公开信息的政府网站,即使这些网站没有用户登录页面,也需要部署SSL证书实现全站https加密。因为这些网站一定有链接到需要登录的政务服务网,这些有链接的页面如果没有使用https加密,则非常容易在传输的过程中被非法篡改而从可信的政府网站链接到了假冒的政府网站,从而导致用户在真正的政务网站系统的用户名和密码泄露,继而危害“一网通办”网站的系统安全。也就是说,所有政务网站无论是国家政务服务平台还是各个省级政务服务平台,还是各个局委办的政府网站,都部署是https加密方式运行,所有政务网站都加密了才能保证统一提供政务服务网站系统安全。
我们同时检索了美国政府网站专属域名*.gov的SSL证书申请量为 3295 张,英国政府网站专属域名*.gov.uk的SSL证书申请量为 3535 张。同时,我们统计了这些政府网站所申请的SSL证书中的仅验证网站域名的DV SSL证书的占比,美国为 50.83%,英国为 70.35%,中国为 80.28%,而全球总的占比是 83.81%。
我们认为:对于国际SSL证书,我国政府网站 应该只是 申请DV SSL证书用于兼容所有浏览器实现https加密,没有必要申请需要提供身份认证材料的国际OV SSL证书和国际EV SSL证书,一方面的确很多政府单位是提供不了身份证明材料,另一方面是除了零信浏览器外的其他浏览器都不再在地址栏显示证书中的单位名称,失去了OV SSL证书和EV SSL证书能证明网站身份的价值。也正是由于这两个原因导致了大量的政府网站的OV SSL证书和EV SSL证书中显示的单位名称为企业名称,这显然是非常错误的网站身份信息,不仅完全失去了SSL证书能证明网站身份的作用,而且还有可能误导网站访问者。也正是这些原因,我们才认为我国政府网站的国际SSL证书就应该只申请仅用于加密的DV SSL证书。
那么,政府网站的可信身份如何证明呢?当然,第一是专用的域名后缀标识(.gov.cn),第二是我国政府网站都有“党政机关”认证标识。虽然这样的标识假冒政府网站也可以复制,但是只要网站访问者仔细查看认证信息应该还是能识别出假冒的认证标识的网站的。第三是零信浏览器已经推出的网站可信认证标识,由浏览器来完成网站身份认证和在地址栏展示网站可信身份,这是不可假冒的解决方案。
当然,还有一个传统的解决方案就是网站部署国密OV SSL证书和国密EV SSL证书,国密SSL证书由国内CA机构签发,可以采用各种灵活的身份认证方式来验证网站的真实身份,其实是不需要政府网站提供什么身份证明材料的。所以,对于国密SSL证书,我们推荐政府网站申请国密OV SSL证书和国密EV SSL证书,零信浏览器能在地址栏展示部署了这两类证书的网站可信身份。
本次统计中,我们发现了一个很值得单独列出的话题,中国台湾省政府网站申请了3802张SSL证书,其中有3642张SSL证书由政府专用顶级根证书或定制的专用中级根证书签发,占比高达95.79%。我们还发现香港特别行政区的政府网站申请的2103张SSL证书中有1489张是由政府CA-香港邮政CA签发的,比例也高达70.80%。为什么这么做?当然是为了政务网站安全可控。如果政府网站部署的SSL证书是从特定的政务专用中级根证书签发的,则政务系统就可以增加一个更好的安全控制-政务网站系统只信任政务专用中级根证书签发的SSL证书,能简单有效地防止其他CA机构的SSL证书的错误签发和恶意签发,有效解决证书透明日志系统无法解决的证书自身安全问题,能有效阻止SSL中间人攻击。
我们认为:这个也值得大陆政府网站参考学习,我国正在不断改进营商环境,已经基本上做到了所有政务服务都可以网上办和掌上办,但是便利服务的同时增加了政务系统的安全风险。除了加强各种传统安全防护措施外,保障用于政务信息传输加密的SSL证书的自身安全非常重要,唯一可靠解决方案就是所有政务网站所需的SSL证书都从定制的政务专用的中级根证书签发,实现SSL证书本身的基础安全自主可控。当然,包括国际SSL证书和国密SSL证书,用于双算法双SSL证书部署。
从2022年4个季度的报告数据可以看出,无论是从证书数量来看,还是同国外政府网站的部署量来对比,目前我国政府网站的SSL证书部署量还是非常低的,这不利于政务“一网通办”服务的稳定安全可靠运行。零信任安全研究院为此组织力量对十几省市的政务云平台相关主管做了一些问卷和当面的调查,发现了这么低的SSL证书部署量的真实原因,本期特发布并提出建议,供有关决策者参考。
这些政务云平台主管们当然都支持网站需要部署SSL证书,否则所有浏览器都会提示“不安全”。虽然有些主管认为网站只是一些供公众了解的公共信息,没有必要加密。但是,真正的原因是现有正在提供政务服务的服务器系统不能随便动!不敢因为部署SSL证书实现https加密而有可能影响目前系统的正常运行,宁可没有部署SSL证书要保证现有系统可靠正常运行。这是第一要务,部署SSL证书和部署国密SSL证书的合规要求变成了第二要务。更不用提,要支持国密https加密,Web服务器软件都需要升级系统支持国密算法,那更是难上加难,不敢冒这个风险去改动现有服务器系统。
也就是说,大家都知道政务系统需要支持https加密、需要支持国密https加密,但是,目前的困境是安装SSL证书,实现国密改造有可能会影响现有的没有部署SSL证书的系统的可靠运行,这是万万不能接受的。政务云平台急需是零改造的、零改动现有政务系统服务器的、可以无缝从http升级到国密https加密的解决方案。这是来自一线的真实需求,值得相关服务提供商思考如何解决政务云平台的真实难题。
如果解决了这个技术难题,那绝对不是现在的状况-连续两个季度都只有一个江西省政府官网启用了国密https加密。当然,为了确保用户使用任何浏览器都能正常访问政府网站,必须部署双算法双SSL证书,实现自适应算法https加密。我们同时呼吁我国用户尽快使用支持国密SSL证书的国密浏览器,以实现即使RSA SSL证书被非法吊销,由于实际上是国密SSL证书在起加密作用而不会有任何影响,确保了用户可靠地访问政府网站和各种重要网站。
我们同时呼吁所有国密SSL证书,特别是用于政府网站的国密SSL证书,应该必须尽快支持国密证书透明,以确保能及时发现用于恶意攻击签发的国密SSL证书或者草率错误签发的国密SSL证书,从而保障国密https加密安全。
本次报告增加了两个关键数据的发布:国际SSL证书提供商和国密SSL证书提供商的数据,因为供给质量决定了消费质量,同时思考了为何在供给充足,甚至国际SSL证书已经供给过剩的情况下,为何消费市场没有起来,总的原因当然是供给方没有提供能真正满足消费方的真实需求,期待市场供给方能早日提供切合市场需求的产品和服务,只有这样,https加密和国密https加密才能真正得到普及应用,才能真正大力提供我国互联网的基础安全保障水平。
本次发布的报告是2022年的最后一期报告,在2023年的第一天发布,零信任安全研究院感谢广大读者在过去一年对本报告的支持和信任,此报告由原先的CEO博客方式发布改为现在的由专职团队撰写发布,希望2023年我们能给广大读者带来更多的有价值的数据和信息。零信任安全研究院把2023年定义为“国密HTTPS加密普及元年”,我们非常看好国密算法HTTPS加密,国际算法SSL 证书市场被国外CA牢牢控制这已成为现实而无法超越,因为我们没有话语权,而我们有话语权的国密SSL证书一定能在业界的共同努力下实现创新快速发展,把失去的SSL证书市场夺回来,并牢牢掌握在我国中国人自己的手中,,只有这样才能真正保障我国互联网安全!
“路虽远行则将至,事虽难做则必成”。祝福密码人,祝福祖国!