本报告由零信技术 零信任安全研究院 全球独家发布,电子版首发渠道为零信任安全研究院微信公众号:zotrusi 和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。
本次发布的是定期发布的2023年第四季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策。本次发布的报告由于是年末发布,所以特增加一个年度总结段落,希望这些数据和建议能为相关部门和机构的相关决策提供有力参考。
根据国际证书透明日志系统数据统计,截止到2023年12月30日,已经在国际证书透明日志系统记录的全球SSL证书总数已经达到116亿多张,其中未过期的全球信任的SSL证书有6.7644亿张,比上一季度增加了10.10%。
全球6.7644亿张有效证书中,只验证域名的DV SSL证书有5.7848亿张,比第一季度增加了12.45%,占比85.52%,增加了1.78个百分点,意味着DV SSL证书的比例在持续增长。验证网站身份的OV SSL证书有9759万张,扩展验证网站身份的EV SSL证书34.297万张,占比0.05%。鉴于Cloudflare自动化签发了大量的O字段为Cloudflare的OV SSL证书,但实际上是为使用Cloudflare CDN服务的网站签发的,数量为5071万张,这些OV SSL 证书可以理解为是错误签发的OV SSL证书,实际上是DV SSL证书!也就是说,OV SSL证书实际数量少于4688万张,占比仅为6.93%。所以,实际上,DV SSL证书占比为93.02%,这是一个非常有意义的数据,意味着DV SSL证书已经一统天下,非DV SSL证书仅占不到7%!
全球6.1436亿张有效证书中,排名前十大SSL证书提供商分别是:第1位仍然是Let’s Encrypt (3.1085亿张)(比上一季度增加了6.34%,首次超过了50%市场份额)、第2位是谷歌(5736万张)(上升了1位)(增加)、第3位是亚马逊(5441万张)(上升了1位)(增加)、第4位是Cloudflare (5071万张)(下降了2位)(减少)、第5位是GoDaddy(4844万张) (上升了2位)(增加)、第6位是Sectigo (4399万张)(下降了1位)(增加)、第7位是DigiCert (3307万张)(下降了1位)(增加)、第8位是ZeroSSL (2490万张)(上升了1位)(增加)、第9位是微软(2242万张)(下降了1位)(减少)、第10位是cPanel (1227万张)(减少)。对比上一季度的数据,谷歌跃到了第二位,实现了在2016年启用自己的根证书时确定的目标。互联网公司GoDaddy上个季度增加了216%,从9位上升到第7位,这个季度比上个季度增加了188%,势头很猛,这个数据不知道是否对我国互联网公司和云平台公司能有所启发,GoDaddy由注册域名起家,拥有大量域名用户,就可以把建站用的SSL证书市场也一并拿下,绝招仍然是自动化为用户实现HTTPS加密。两个季度连续下跌最多的仍然是cPanel,意味着虚拟主机用户已经开始转向云服务提供商,其产品已失去了核心竞争力。
全球排名前十的SSL证书提供商中,传统的CA机构Sectigo和DigiCert没有保住其第5和第6位,都下降了一位,这也是预料之中的事情,因为互联网公司和云平台服务商都已经为用户自动化提供SSL证书和自动化实现HTTPS加密了,还有用户会去费力向CA申请SSL证书再去费力安装吗?这是CA的劣势,而如何突破这个劣势,唯一的突破口仍然是自动化,一个同互联网公司和云平台商不一样的自动化,而不是学习他们的自动化方案,因为最终用户在他们手中,如果你的解决方案同他们一样,用户怎么会去用你的方案呢?这一点值得所有CA机构反思。
本季度的数据中的DV SSL证书比例已经高达93%,这个数据非常值得重视,因为谷歌在3月3日发布了将来的计划,将推动国际标准缩短SSL证书有效期为90天。谷歌发布这个计划是有底气,因为目前全球有效SSL证书中已经有93%都是90天有效期的证书,虽然这个比例在我国并没有这么高,但是这个数据非常值得重视。唯一的出路大家应该已经看到了,只有自动化实现SSL证书的申请、部署和续期,这是唯一的一条路,不仅国际SSL证书如此,国密SSL证书也是如此。
我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
具体数据如下表1所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为1555张,比上一季度增加了8.36%。其中,海南省又上升了一位,升到第4名,可能与海南封关有关,必须抓快与国际接轨,所有政务网站都需要有HTTPS加密。山东省上升了5位,其他排名上升还有新疆自治区、湖南省等,排名前5位的是浙江省、上海市、北京市、海南省、广西壮族自治区。
对于国密算法SSL证书的部署情况,本季度无新增,31个省市自治区省级政府官网中部署了国密SSL证书的仍然只有一个湖南省政府门户网站。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署零改造的国密HTTPS加密自动化网关,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。
对于默认HTTPS加密这一项,本月只有17个省政府官网自动启用HTTPS加密,虽然有多个省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。
对于省政府官网是否有云WAF防护这一项,31个省市自治区中有6个省政府网站有WAF防护,但是只有5个网站同时启用了默认https加密,也就是只有这5个网站的WAF防护才真正发挥防护作用。当然,我们无法知道这些网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
我们检索了 *.gov.cn的SSL证书申请量为16917张,比上一季度增加了3.90%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1555张。从本期开始,我们将具体列出这些SSL证书有多少张DV/OV/EV SSL证书、由哪些CA签发,各个CA的签发数量排名。为何需要分析这些数据,因为只有知道了政府网站https加密SSL证书是哪些CA签发的,才能分析可能存在的风险和提前准备好具体应对对策,这是非常有价值的数据。
16917张有效的*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表2所示。从数据可以看出,政府用户也是喜欢申请无需提供任何证明材料的DV SSL证书,占比接近80%。这也是我们推荐政府用户选用的证书类型,不要难为政府用户去提供无法提供的证明材料。我们很遗憾地看到不少.gov.cn域名的OV SSL证书中绑定的单位名称为某某公司,这种OV SSL证书可能理解为错误签发的证书,还不如直接申请DV SSL证书。
签发这16917张SSL证书的SSL证书提供商前18位排名及签发数量和国别如下表3所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。我国拥有自己的顶级根CA的签发比例从上一季度的6.29%上升到7.19%,国外CA占比仍然高达92.81%。这一季度数据同上一季度相比,能发现两个亮点:一是国外CA占比在减少,这是一个好迹象;第二个亮点是自动化部署的证书数量有5.44%的增长。请注意:即使是我国自己的顶级根证书签发,但是否信任这些RSA算法根证书还是人家说了算,仍然有安全风险,普及商密SSL证书才是唯一安全上策。
我们同时还检索了港澳台地区的SSL证书申请量,如下表4所示。我国大陆各省市所有政府网站合计证书申请量为16917张,连续三个季度超过港澳台的数据的总和,这说明了我国大陆地区的政府网站已经开始重视网站信息安全防护和数据加密保护工作。
我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书签发中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有2家是专门签发证书的CA机构,仅排名为第六和第七,其余都是全球知名的互联网和云服务提供商。
如下表5所示,本次列入统计的本土SSL证书提供商有18家,都是拥有自主品牌的全球信任的SSL中级根证书的证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这18家SSL证书提供商中有8家公司是CA机构,有3家是知名的云服务提供商,其他7家是商业公司。
而这18家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书(下表中表示为“+”)。其他15家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods,本季度新增一家-新网数码,唯一一个从国内CA机构定制了中级根证书的SSL证书提供商。
这18家国际SSL证书提供商签发的有效证书数合计为127.4870万张,比上一季度减少了1.52%,对比全球数据增加了10.10%,国内SSL证书提供商的市场份额连续三个季度在下降,这18家的总和在全球SSL证书提供商中排名第14位。而排名前10位的SSL证书提供商都在为用户提供自动化证书管理服务,用户喜欢能提供自动化申请和部署的SSL证书提供商,希望国内SSL证书提供商能尽快为用户提供自动化证书管理服务,特别是应该提供国密证书自动化管理服务,以实现双算法双SSL证书的自动化管理。国际SSL证书是临时市场,而国密SSL证书则是未来市场,早投入早收益。值得一提的是:合肥网盾在本季度跻身前5名,其增长秘诀是实现了自动化证书管理。零信证签在本季度增长了144.23%,这是由于已经有用户开始使用零信国密HTTPS加密自动化解决方案实现HTTPS加密自动化。这些都是自动化的威力,用户需要自动化证书管理。
本期发布的国密SSL证书数据来自零信国密证书透明日志系统(sm2ct.cn)和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的国密SSL证书数据仅供参考。合计4329张,比上一季度增长了两倍多(204.39%),这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,一个重要的案例就是深圳政府在线已经完成国密改造,实现了深圳政府门户网站的国密HTTPS加密保护。
另一个值得在此一提的大事是密标委已经下文由零信技术牵头制定证书自动化商密标准-《自动化证书管理规范》和证书透明商密标准-《证书透明规范》,这两个标准制定的立项成功标志着国密SSL证书透明已经有标准可依了,证书透明和证书自动化将驶入发展快车道,将为保障商密SSL证书的可靠供给和普及应用提供标准支撑,将加速商密SSL证书的普及应用部署,加速采用商用密码来保障我国网络空间安全。
为此,零信浏览器把计划强制实施国密证书透明计划的日期从原计划的2024年1月1日推迟到2024年7月1日,让各家国密CA机构有足够的时间去升级CA系统支持国密证书透明。从2024年7月1日起,零信浏览器会采用谷歌浏览器一样的证书透明策略,对没有在国密证书透明日志系统公开披露的国密SSL证书标记为不可信的SSL证书,请各家CA机构抓紧时间对接零信国密证书透明日志系统。
当然,我们希望有更多机构,包括国家密码主管部门和国家网站管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的国密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,国密SSL证书的签发统计数据才是真实的数据,国密SSL证书才能保障自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。
本期数据是2023年的年终数据,我们回顾一下这一年来全球前十大SSL证书提供商的排名变化情况,从中可以发现我国SSL证书提供商的发展思路,这个最有价值。如下表6所示,Let’s Encrypt稳居第一位,并且首次超过了50%市场份额,其成功秘诀在于它是首家提供自动化证书管理服务的厂商,是一个浏览器背景的软件厂商,不仅自动化提供免费90天SSL证书,而且牵头制定了RFC8555国际标准,使得大量的服务提供商都依据标准对接其自动化证书服务系统,自动化为各种业务系统和各种物联网设备部署SSL证书。也就是说,LE由于成功打造了自动化证书管理生态,大家都离不开这个生态了,其市场份额只会是一直不断增长,其证书量是排名第二位谷歌的5.42倍,比其他9位的总和还要多。
第二个值得关注的是谷歌信任服务,从2022年3月30日开始提供ACME服务,到2023年4月1日一年时间从零开始一跃成为全球排名第四位的SSL证书提供商,第二季度就上升到第三位,而第四季度又升到到了第二位,也就是说谷歌只用了一年零九个月就成为了全球老二。取得这样的业绩的主要原因有三个:第一是互联网公司和云服务商拥有大量的用户,一旦谷歌能为这些云服务免费自动化提供SSL证书,用户当然就用谷歌的自动化证书服务了;第二是谷歌拥有自己的顶级根证书,能完全自主可控地为用户可靠地提供SSL证书自动化签发服务,连原排名第二位的Cloudflare也开始为用户自动化配置谷歌签发的SSL证书而不是自己品牌的SSL证书;第三是谷歌浏览器的绝对市场份额(超过70%),让用户也愿意选择谷歌的自动化证书服务,因为谷歌自己签发的SSL证书谷歌浏览器绝对是会信任的,而选择其他家则有可能遭遇不被信任的风险。这三个原因使得大家愿意用其自动化证书管理服务,其市场份额就自然而然地飞速提升。亚马逊的成功也可以归类到谷歌的成功模式中,虽然它没有浏览器,但是有第一和第二个原因一样的优势。
第三个值得关注的Cloudflare和微软,这两家可以放在同一类分析。这两家的共同点是都没有自己的顶级根证书,都是从其他CA机构定制了SSL中级根证书,不仅仅是费用问题,更重要的是会受到顶级根CA的技术制约和性能制约,因为用户证书的验证和签发必须由顶级根CA来负责。也许正是这个原因使得Cloudflare不惜牺牲自己品牌的签发数据而选择为用户自动化配置谷歌签发的SSL证书,这里也能体会到Cloudflare真正为用户着想的服务理念。这两家公司都是云服务提供商,也一样拥有大量的需要SSL证书的用户。cPanel也可以归类到这一类(没有自己的根证书),其根本原因是用户可能不再需要其核心产品cPanel,虽然仍然有大量用户。
第四个值得关注的是Sectigo和DigiCert,全球前两大CA机构理应排名第一和第二,但由于没有及时为用户提供自动化证书管理服务,而在本季度分别从排名第5和第6位下降到第6个和第7位。虽然这两家CA已经开始提供自动化证书管理服务,但是由于仅提供证书服务,用户已经在云服务提供商那里自动化拿到了SSL证书,怎么还会向你申请证书?目前的市场份额应该基本上都是传统的人工申请证书的用户的申请量,随着用户直接使用云服务平台的SSL证书,预计2024年还会继续下滑。
第五个值得关注的是GoDaddy,这是一家老牌域名注册服务提供商,拥有大量的域名注册用户,这个公司陆续提供了各种云服务和成为CA机构并拥有自己的顶级根证书,使其能为域名用户提供自动化证书服务,其排名从第一季度的第9位一路快速上升到第三季度的第7位和第四季度的第5位。这个成功模式非常值得国内所有域名注册服务提供商学习与借鉴,这是为何单独列为一类的原因,其实也可以归类到第二种情况中,即云服务厂商拥有大量的SSL证书需求用户,用户需要一站式解决方案提供商。
本期统计数据的亮点是国密SSL证书申请量的两倍增长,因为大量的国密改造需要国密SSL证书。但是,传统的向CA申请国密SSL证书的方案对于少量几个网站的国密改造尚能接受,而对于一个省级政务云平台有上万个网站需要完成国密HTTPS加密改造,手动申请国密SSL证书,并改造Web服务器支持国密算法的改造方案根本行不通,唯一的解决方案是零改造的部署国密HTTPS加密自动化网关,实现国密SSL证书的自动化申请和部署,原Web服务器零改造就可以完成国密改造,这才是唯一可行的方案。
本期报告在新年假期完成,2023年我国已经完成了商密SSL证书所需的所有商密标准的立项制定工作,相关公司已经完成了整个生态所需的所有商密SSL证书的可靠生产和快速部署的产品研发工作,2023年已经实现了年初我们定位的“国密HTTPS加密普及元年”,我们把2024年定为“国密HTTPS加密自动化年”,今年极有可能落地90天有效期SSL证书安全政策,唯有自动化才能实现国密HTTPS加密的普及应用。唯有拥抱自动化,才能适应不断变化的网络安全浪潮,在数字时代实现稳健增长。
新年新气象,为了应对不确定的国际环境,我国只有普及应用商密HTTPS加密才能保障我国网络空间安全,这是网络空间安全的基础安全保障,保障了网站安全也就是保护了国家安全,因为“没有网络安全就没有国家安全”。而只有保障了国家安全,才会有小家的岁岁年年享受阖家团圆,才能享受畅游美好的祖国山山水水。
祝福所有读者,感谢广大读者一年来对中国SSL证书市场发展趋势分析简报的关爱,2024年我们将加强数据的深度分析,提供更细分粒度的相关数据,为相关产业发展提供决策数据支撑。