中国SSL证书市场发展趋势分析简报-2023Q3
零信任安全研究院全球独家发布 | 2023年10月3日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

本报告由零信技术 零信任安全研究院 全球独家发布,电子版首发渠道为零信任安全研究院微信公众号:zotrusi 和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。

本次发布的是定期发布的2023年第三季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的SSL证书的数据,同时增加了我国前20大银行的SSL证书签发数据,这两个重要领域的SSL证书签发数据非常有参考价值,因为从俄乌冲突发生后第10天开始美国CA就开始吊销了三千多张俄罗斯政府网站和银行网站的SSL证书,从而导致这些重要的网站系统都无法正常访问,不仅严重影响了老百姓上网办事,更可怕的是严重动摇了民心。以史为鉴,可知兴替。零信任安全研究院特在这个举国欢庆的日子里发布这些有重要参考价值的数据,希望这些数据和建议能为相关政府部门和商业机构的相关决策提供有力参考。

一、 全球SSL证书统计数据分析

根据国际证书透明日志系统数据统计,截止到 2023年10月1日,已经在国际证书透明日志系统记录的全球SSL证书总数已经突破 100亿 张,为 10679979979 张(106 亿多),其中未过期的全球信任的SSL证书有 6.1436 亿张,比上一季度减少了 5.77%,略有下降。

全球 6.1436亿 张有效证书中,只验证域名的DV SSL证书有 5.1445亿 张,比第一季度减少了 5.31%,占比 83.74%,增加了0.41。验证网站身份的OV SSL证书有 9954万 张,比上一季度减少了 7.99%,占比 16.20%,下降了0.39。扩展验证网站身份的EV SSL证书 34.513万 张,比上一季度减少了 4.12%,占比 0.056%,下降了 30%。鉴于Cloudflare自动化签发了大量的O字段为Cloudflare的OV SSL证书,但实际上是为使用Cloudflare CDN服务的网站签发的,可以理解为这是错误签发的OV SSL证书,实际上是DV SSL证书!所以,OV SSL证书的数据已经不能真实反映真正的OV SSL证书的占比,仅供参考。

也正是由于大量的CDN用SSL证书和物联网用SSL证书的O字段信息的不准确,再加上少数签发给政府网站的OV SSL证书的O字段信息居然是公司名称,这使得我们确信以前根据OV SSL证书和EV SSL证书的数据来统计各国的SSL证书申请情况并排名已经失去了可比性,所以本期继续不再做国别排名,本期将重点分析我国网站所部署的SSL证书相关签发数据,这个对我国普及SSL证书应用更有现实意义。

全球 6.1436亿 张有效证书中,排名前十大SSL证书提供商分别是:第1位是Let’s Encrypt (2.9233亿张)(比上一季度减少了11.39%)、第2位是Cloudflare (5538万张)(减少)、第3位是谷歌 (5247万张)(减少)、第4位是亚马逊 (5030万张)(减少)、第5位是Sectigo (4249万张)(增加)、第6位是DigiCert (3138万张)(减少)、第7位是GoDaddy (2579万)(增加)、第8位是微软 (2262万张)(减少)、第9位是ZeroSSL (1358万张)(增加)、第10位是cPanel (1719万张)(减少)。对比上一季度的数据,前5位中的前4位签发数量都有一定比例的减少,只有第5位的Sectigo有增加;而增长最快的是GoDaddy,增加了216%,从9位上升到第7位;下跌最多的是cPanel,从第8名下降到第10位,这说明有自己的顶级根的CA还是有核心竞争力的。

全球排名前十的SSL证书提供商中,只有两家是传统的CA机构:Sectigo和DigiCert,其他家都是互联网和云服务提供商,这个非常值得我国的互联网和云服务提供商学习。因为用户需要的是网站支持https加密,而不是SSL证书!如果用户能从云服务提供商那里直接获得网站https加密服务,就不会再去CA申请SSL证书了,这也非常值得CA机构深思应该如何应对这个市场变化。Sectigo市场份额有所上升的原因是提出了自动化证书管理的解决方案,这也是值得我国CA机构学习的。如果CA机构仍然是采用传统的手工申请SSL证书方式来销售SSL证书,则一定会被能提供自动化部署SSL证书的服务提供商超越,市场份额会重新洗牌!

再深度分析这8家互联网和云服务提供商签发的SSL证书发现,这高达86%的SSL证书基本上都是免费的90天DV SSL证书,再加上Sectigo提供的90天免费证书,估计占比已经高达90%,这个数据非常值得重视,因为谷歌在3月3日发布了将来的计划,将推动国际标准缩短SSL证书有效期为90天。谷歌发布这个计划是有底气,因为目前全球有效SSL证书中已经有90%就是90天有效期的证书,虽然这个比例在我国并没有这么高,但是这个数据非常值得重视。唯一的出路大家应该已经看到了,只有自动化实现SSL证书的申请、部署和续期,这是唯一的一条路,不仅国际SSL证书如此,国密SSL证书也是如此。

二、我国政府网站的SSL证书统计数据分析

我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。

具体数据如下表1所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1435 张,比上一季度减少了 17.34%,可能是有些省市自治区申请了通配证书,为了密钥安全,强烈不建议为所有网站共用一张通配证书。其中,海南省上升到第5名,可能与海南封关有关,必须抓快与国际接轨,所有政务网站都需要有HTTPS加密。河南省上升了4位,可能与今年8月份在河南省召开商用密码大会有关,进一步推动了河南省政务网站的HTTPS加密实施。其他排名上升还有陕西省、山东省、青海省等,排名前5位的是 浙江省、上海市、北京市、广西壮族自治区、海南省

对于国密算法SSL证书的部署情况,本季度新增了新疆政务服务网,31个省市自治区省级政府官网中部署了国密SSL证书的仍然只有一个湖南省政府门户网站。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署零改造的国密HTTPS加密自动化网关,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。

对于省政府官网是否有云WAF防护这一项,31个省市自治区中有6个省政府网站有WAF防护,但是只有5个网站同时启用了默认https加密,也就是只有这5个网站的WAF防护才真正发挥防护作用。当然,我们无法知道这些网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。

表1

我们检索了 *.gov.cn 的SSL证书申请量为 16282 张,比上一季度减少了5.10%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1435张。从本期开始,我们将具体列出这些SSL证书有多少张DV/OV/EV SSL证书、由哪些CA签发,各个CA的签发数量排名。为何需要分析这些数据,因为只有知道了政府网站https加密SSL证书是哪些CA签发的,才能分析可能存在的风险和提前准备好具体应对对策,这是非常有价值的数据。

16282张有效的*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表2所示。从数据可以看出,政府用户也是喜欢申请无需提供任何证明材料的DV SSL证书,占比接近80%。这也是我们推荐政府用户选用的证书类型,不要难为政府用户去提供无法提供的证明材料。我们很遗憾地看到不少.gov.cn域名的OV SSL证书中绑定的单位名称为某某公司,这种OV SSL证书可能理解为错误签发的证书,还不如直接申请DV SSL证书。

表2

签发这16282张SSL证书的SSL证书提供商前20位排名及签发数量和国别如下表3所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。可以看出我国拥有自己的顶级根CA的签发比例仅占6.29%,而且上海CA的根还需要波兰CA的交叉签名,国外CA占比高达93.71%。这一季度数据同上一季度相比,能发现两个亮点:一是国外CA占比在减少,这是一个好迹象;第二个亮点是自动化部署的证书数量有5.29%的增长。

表3

我们同时还检索了港澳台地区的SSL证书申请量,如下表4所示。我国大陆各省市所有政府网站合计证书申请量为 16282 张,连续两个季度超过港澳台的数据的总和,这说明了我国大陆地区的政府网站已经开始重视网站信息安全防护和数据加密保护工作。

表4

三、 我国二十大银行网站的SSL证书统计数据分析

从本期开始增加我国二十大银行域名的SSL证书申请量统计数据,见下表5,这20家银行名单来自中国银行业协会2023年8月发布的年度“中国银行业100强榜单”,有些银行不止一个域名,为了统计方便只采用了其中一个主要域名的统计数据。由于SSL证书提供商有很多家,鉴于表格宽度有限,我们仅列出了市场份额排名的前两名,正好一家是美国CA,一家是中国CA,其他家的数据统一合并在“其他CA”中,这些“其他CA”基本上都是国外CA,所以,同美国CA一起统计在“国外CA%”中。

表5

从上面的统计数据可以看出我国银行网银系统HTTPS加密安全存在如下三个方面的主要问题,希望这些统计数据能引起金融监管部门和各个银行的高度重视。

  • 我国网银系统中采用美国CA-DigiCert的比例高达75.52%,也就是原先的VeriSign被赛门铁克收购后又被DigiCert收购的CA,加上其他国外CA,比例高达85.05%,这意味者我国网银系统也一样面临俄罗斯银行一样的安全风险。
  • 我国银行业是最早要求国密改造的行业,但是在前20大银行的网银系统中,只有一家银行默认启用国密HTTPS加密,还有6家部分网银系统支持国密HTTPS加密,而这6家中有两家用的自签证书,一家的证书有效期为3年,这3家即使使用了国密证书,但由于不受信任而使得零信浏览器为了用户体验而自动采用RSA算法实现HTTPS加密,因为RSA算法SSL证书是可信证书。只有1家银行官网部署了零信浏览器信任的国密SSL证书而默认采用国密算法实现HTTPS加密,这是完全符合有关银行安全规范要求的,有6家银行的部分系统满足合规要求,其他银行都是不符合合规要求的。
  • 20家银行官网中只有9家是默认HTTPS加密的,有些银行官网甚至没有启用HTTPS加密,这也是严重不合规的、也是用户不可接受的严重安全问题,特别是有些银行的银行卡查询业务系统居然没有启用HTTPS加密,则非常不安全,因为大量用户的查询口令同取款口令是一样的,没有实现HTTPS加密而导致的用户钱财损失可不是用户保管口令不善导致的,而且银行提供的查询功能不安全导致的。

四、我国本土国际SSL证书提供商的统计数据分析

我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书签发中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有2家是专门签发证书的CA机构,仅排名为第五和第六,其余都是全球知名的互联网和云服务提供商。

如下表5所示,本次列入统计的本土SSL证书提供商有17家,都是拥有自主品牌的全球信任的SSL中级根证书的证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这17家SSL证书提供商中有8家公司是CA机构,有3家是知名的云服务提供商,其他6家是商业公司。

而这17家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书(下表中表示为“+”)。其他14家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods。

这17家国际SSL证书提供商签发的有效证书数合计为 129.4598万 张,比上一季度减少了 11.46%,对比全球数据减少了5.77%,说明国内SSL证书提供商的市场份额连续两个季度在下降,这17家的总和在全球SSL证书提供商中排名第 14 位,比上个季度上升了一位。而排名前10位的SSL证书提供商都在为用户提供自动化证书管理服务,用户喜欢能提供自动化申请和部署的SSL证书提供商,希望国内SSL证书提供商能尽快为用户提供自动化证书管理服务,特别是应该提供国密证书自动化管理服务,以实现双算法双SSL证书的自动化管理。国际SSL证书是临时市场,而国密SSL证书则是未来市场,早介入早收益。

表6

五、 我国国密SSL证书提供商的统计数据分析

本期发布的国密SSL证书数据来自零信国密证书透明日志系统(sm2ct.cn)和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的国密SSL证书数据仅供参考。合计 2118 张,比上一季度略有小幅增长。

这里提醒零信浏览器信任的CA机构注意:零信浏览器计划推出的强制实施国密证书透明计划的日期从原计划的2023年7月1日推迟到2024年1月1日,让各家国密CA机构有足够的时间去升级CA系统支持国密证书透明。从2024年1月1日起,零信浏览器会采用谷歌浏览器一样的证书透明策略,对没有在国密证书透明日志系统公开披露的国密SSL证书标记为不可信的SSL证书,请各家CA机构抓紧时间对接零信国密证书透明日志系统。

当然,我们希望有更多家机构,包括国家密码主管部门和国家网站管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的国密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,国密SSL证书的签发统计数据才是真实的数据,国密SSL证书才能保障自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。

六、 统计数据亮点和问题分析

本期统计数据有3个亮点,一是增加了银行网银系统SSL证书的申请量统计数据,统计表明,我国网银系统不仅存在较高的安全风险,而且存在大量不合规的情况,这个值得相关部门和单位高度重视。本次统计只统计了前20家银行,而我国有三千多家银行,前20家银行的情况都不乐观,其他小银行就更不乐观了。

第二亮点是17家SSL证书提供商上,有5家公司出现了负增长,而巧的是这5家负增长机构全部都是拥有工信部和国密局CA许可证的公司,这就值得各个CA机构深思和反省了。国际SSL证书业务目前在我国是一个完全开放的市场,所有非CA机构的积极渗透和灵活的市场策略都值得各CA机构学习和反思。各CA机构应该抓住国密SSL证书的未来市场,毕竟这个市场的用户还是看好CA机构的合规资质的,抓住这个给用户提供国密SSL证书的同时配套提供国际SSL证书的机会,实现双SSL证书的部署,只要这样才可能借国密SSL证书市场的成功而同时赢得国际SSL证书的市场。

第三个亮点是还是自动化证书管理,这仍然是SSL证书提供商必须抓住的机会。在全球市场,传统CA机构Sectigo在前4位签发数量都有一定的减少的情况下有5.65%的增长,而另一家CA机构GoDaddy则更猛,增加了216%,从9位上升到第7位,这是因为这两家CA机构也开始支持ACME,Sectigo提供SCM服务能帮助用户扫描整个证书透明日志数据库来发现本单位所申请的所有SSL证书,集中管理并及时自动化续期和续费,实现了全自动化证书管理,这值得我国CA机构学习。国际CA机构市场份额的增长与国内CA机构的市场份额的减少形成了巨大的反差,还是那句话,CA机构或者SSL证书提供商一定要大胆拥抱自动化证书管理,大胆采用HTTPS加密自动化的解决方案,只有这样才能赢得未来市场。

七、小结

本期报告在中秋国庆双节假期完成,那就用零信任研究院发布的双节海报主题来做小结-“商密保国安,岁岁享团圆”,只有普及应用商用密码才能保障我国网络空间安全,只有普及国密HTTPS加密才能保障我国网站系统安全,这是网络空间安全的基础安全保障,所以保障了网站安全也就是保护了国家安全,因为“没有网络安全就没有国家安全”。而只有保障了国家安全,才会有小家的岁岁年年享受阖家团圆,才能享受畅游美好的祖国山山水水。

为了国家的长治久安,密码人继续齐加油!祝大家有一个美美的双节假期。