本报告由 零信任安全研究院 和 零信浏览器 全球独家联合发布,电子版首发渠道为零信任安全研究院微信公众号:zotrusi和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。
本次发布的是定期发布的2024年第2季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是商密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策。同时继续发布全球十大SSL证书提供商的排名情况与分析,供国内CA及相关企业制定发展战略参考。
根据国际证书透明日志系统数据统计,截止到 2024年6月30日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有 7.4496 亿张,比上一季度增加了 6%,其中只验证域名的DV SSL证书、验证单位身份的OV SSL证书和扩展验证单位身份的EV SSL证书的签发量、占比和同上一季度环比数据如下表1所示,可以看出SSL证书总数增长了6%,但DV SSL证书却增长了10%,说明DV SSL证书的比例仍然在持续增长,其占比由上一季度的87.29%增长到90.78%。鉴于Cloudflare自动化签发了大量的O字段为Cloudflare的OV SSL证书,但实际上是为使用Cloudflare CDN服务的网站签发的,数量为2297万张,这些OV SSL 证书可以理解为是错误签发的OV SSL证书,实际上是DV SSL证书!也就是说,OV SSL证书实际数量少于4532万张,占比仅为 6.08%。所以,实际上,DV SSL证书占比为 93.87%,连续3个季度保持这个高比例,这意味着DV SSL证书已经一统天下,非DV SSL证书仅占不到 7% !
全球 7. 4496 亿张有效证书中,排名前十六大SSL证书提供商的证书签发量、占比和同上季度环比增长情况如下表2所示,第1位仍然是Let’s Encrypt,并且比上一季度增加了9.25%,首次超过50%市场份额,第2位是GoDaddy,保持上季度的第2位。谷歌由上季度的第4位上升到本季度第3位。
本期继续直接采用表格形式列出全球前16大SSL证书提供商的情况,主要是希望用户能了解全球SSL证书市场的全貌,这16大中美国不仅占据前8大,而且共有11家,占比69%,证书签发量占97.05%。我国有一家,但并不是顶级根CA,而是定制美国CA的中级根SSL证书提供商。而展示公司类型的目的是希望给我国各相关行业领导者战略决策参考,一定要改变只有CA机构才能签发SSL证书的传统旧观念!比如说,互联网软件厂商就应该向LE学习,LE就是编写一个自动化申请证书的软件而一跃成为全球第一大SSL证书提供商,也是拥有自己顶级根的CA机构。还有互联网公司、云服务提供商、设备制造商等等,都可以通过定制中级根方式来实现自动化为用户提供自己品牌的SSL证书,从而实现行业逆袭。
如下图1所示,用圆饼图直观展示全球前16大SSL证书提供商的证书签发量排名和占比情况。
本季度的数据中的DV SSL证书比例已经高达 93%,这个数据非常值得重视,因为谷歌在去年3月3日发布了将来的计划,将推动国际标准缩短SSL证书有效期为90天,估计今年会落地。谷歌发布这个计划是有底气,因为目前全球有效SSL证书中已经有93%都是90天有效期的证书,虽然这个比例在我国并没有这么高,但是这个数据非常值得重视。唯一的出路大家应该已经看到了,只有自动化实现SSL证书的申请、部署和续期,这是唯一的一条路,不仅国际SSL证书如此,商密SSL证书也是如此。
我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。
具体数据如下表3所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1768 张,比上一季度增加了 8.27%,连续两个季度都在增长。其中,排名前5名本季度没有变化,仍然是 上海市、浙江省、北京市、海南省、广西壮族自治区,重庆市从上季度排名20位本季度上升到15位,河北省从上季度排名22位本季度上升到18位。
对于国密算法SSL证书的部署情况,本季度有新增,31个省市自治区省级政府官网中部署了商密SSL证书的有两个省:湖南省和海南省。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署国密HTTPS加密自动化网关,原系统零改造,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。
对于默认HTTPS加密这一项,本月只有19个省政府官网自动启用HTTPS加密,虽然有多个省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,能节省原服务器的20%-30%算力,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。
对于省政府官网是否有云WAF防护这一项,31个省市自治区中有6个省政府网站有WAF防护,同时启用了默认https加密,只有这样,WAF防护才真正发挥防护作用。当然,我们无法知道政府网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。
如下图2所示,用圆饼图直观展示全国31个省市自治区政府网站的证书签发量排名和和占比情况。
我们检索了 *.gov.cn 的SSL证书申请量为 16905 张,比上一季度增长了 1.48%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1768张。这些*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表4所示。从数据可以看出,政府用户仍然喜欢申请无需提供任何证明材料的DV SSL证书,占比71%,比上期有所下降。而需要提供身份认证证明材料的OV SSL证书的占比继续上升中,这是因为中金认证的市场份额在快速上升中,国内CA机构可以做到不用麻烦用户提供证明材料而完成其身份认证,所以,推荐政府用户向国内CA机构申请OV或EV SSL证书,如果要申请国外CA机构签发的SSL证书,则推荐申请DV SSL证书,以避免数据出境管理风险。但是,我们发现,多个省市的政府官网的OV SSL证书的O字段并不是政府机构名称,而且公司名称,这绝对是一张错误签发的OV SSL证书,可以理解为是销售商为了提高证书销售额但又拿不到政府机构的身份证明材料的无奈之举和不良行为,应该直接给这些政府网站申请DV SSL证书,而不是给一张身份信息错误的OV SSL证书。
为政府网站*.gov.cn签发这16905张SSL证书的SSL证书提供商前18位排名及签发数量和国别如下表5所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。对比上一期数据可以看出:排名前三未变,沃通CA上升了1位。而美国CA-DigiCert下降了14%,这是连续4个季度在下降,可以看出政府用户更加青睐国内CA。
如下图3所示,用圆饼图直观展示为我国政府网站的签发国际SSL证书的SSL证书提供商的排名和占比情况。
从本期开始,特别为拥有全球信任的RSA算法顶级根的国内CA机构-中金认证(CFCA)和上海CA单独列出其在政府市场的SSL证书的占比增长趋势图,从2023Q2有分析数据开始,已经连续4个季度增长,分别从2023Q2的占比5.83%、2023Q3的6.29%、2023Q4的7.19%、2024Q1的10.78%到本季度的11.41%。这说明政府用户在选购SSL证书时已经开始重视从拥有全球信任的顶级根的国内CA采购,以确保合规和供应安全。但是,即使RSA算法SSL证书是我国CA自己的顶级根证书签发,是否信任这些RSA算法根证书还是人家说了算,仍然有安全风险,普及自己说了算的商密SSL证书应用才是唯一安全上策。
我们同时还检索了港澳台地区的SSL证书申请量,如下表6所示。我国大陆各省市所有政府网站合计证书申请量为 16905 张,而台湾省本季度增长了136%,第一次超过了大陆所有政府网站的证书申请量的总和。本期数据显示澳门特区都有小幅下降。
我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书的中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有2家是专门签发证书的CA机构,仅排名为第六和第七,其余都是全球知名的互联网巨头和云服务提供商。
如下表7所示,本次列入统计的本土SSL证书提供商有19家,都是拥有自主品牌的全球信任的SSL中级根证书的SSL证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这19家SSL证书提供商中有7家公司是CA机构,有3家是知名的云服务提供商,其他10家是商业公司。
而这19家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书(下表中表示为“+”)。其他16家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods,本季度新增两家-GeoSSL(未查到中文公司名称)和上海环度进入前19位。
这19家国际SSL证书提供商签发的有效证书数合计为 146.3781 万张,比上一季度增长了 24.66%,对比全球数据增加了 6%,说明国内SSL证书提供商的增长幅度高于全球市场,这19家的总和在全球SSL证书提供商中排名第 14 位。本季度最大的亮点是零信证签从上季度排名第9位一跃成为第3位,证书签发量增长387%,这是由于零信国密HTTPS加密自动化网关本季度已经在全国各地政府单位、银行和高校部署试用和测试,不仅测试能自动化签发90天的DV/OV/EV SSL证书,并且正在测试每天自动化更新证书,以应对即将落地的90天证书政策,并且可以应对将来可能的继续缩短SSL证书有效期的情况,哪怕是一天有效期。
全球排名前10位的SSL证书提供商都在为用户提供自动化证书管理服务,用户喜欢能提供自动化申请和部署的SSL证书提供商,也只有自动化才能降低HTTPS部署成本和杜绝遗忘续期的风险,只有自动化部署才能提升HTTPS加密服务的安全性和敏捷性,轻松帮助用户实现大规模的SSL证书部署,零改造完成商密HTTPS加密改造,满足用户商密合规、等保合规、密保合规、关保合规和全球信任等网络与通信安全及应用和数据安全的合规要求,快速实现所有互联网政务应用的商密HTTPS加密安全连接。
本期合计统计 1,463,781 张SSL证书中各种类型的占比数据如下表8所示,DV SSL证书占比高达 98.10%,这个比例比全球市场的DV SSL证书的占比93%高出不少,这说明了我国用户比全球用户更加喜欢无需提供任何身份证明材料的DV SSL证书,因为目前用户不愿意提供身份认证材料给国外CA,认证审核时间长和存在数据出境管理风险,这也可能是政府用户选择向国内CA申请OV/EV SSL证书的主要原因,从这个方面也印证了第二部分的国内CA的市场份额持续四个季度都在增长的原因。
本期发布的商密SSL证书数据来自零信国密证书透明日志系统(sm2ct.cn)和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的商密SSL证书数据仅供参考。合计 23248 张,比上一季度增长了 360%,这是由于零信网关的大范围测试和试用而自动化签发了大量的商密SSL证书。商密SSL证书连续7个季度持续增长,这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,不仅有省级政府网站实现了国密HTTPS加密(如湖南省和海南省),并且有多个地级市政务服务网站也已经实现国密HTTPS加密。
本季度发生了两件与SSL证书市场相关的大事,第一件大事是我国四部委联合发布了《互联网政务应用安全管理规定》(以下简称《规定》),第二件大事是谷歌浏览器宣布从11月1日起不再信任加拿大CA-Entrust签发的SSL证书。
第一件大事绝对是一件SSL证书市场的大利好,同时也是保障我国互联网更加安全的重要措施。这是由网信办、中央编办、工信部和公安部联合发布的,今天(7月1日)正式施行,是为了保障互联网政务应用安全稳定运行和数据安全。
具体与SSL证书相关的有两点:一是所有政府网站包括所有关键信息基础设施网站都必须采用商密HTTPS加密方式实现安全连接;二是所有政府网站如果采用的CDN服务的话,则要求CDN服务必须支持商密HTTPS加密。如果违反或者未能正确履行《规定》要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。这就是要相关单位必须马上行动起来去落实,以满足《规定》的要求。而如何行动,就需要寻找合适的解决方案,是采用传统的购买SSL证书去每台服务器人工部署,每年一次或者5次,还是采用自动化方式一劳永逸的,这个一定要看准方向,不能花了钱并没有真正解决问题。
而对于CA机构和SSL证书提供商,则应抓住此巨大的机遇,为互联网政务应用提供相应的产品和解决方案,这个核心产品当然是SSL证书,但是如何为政府用户提供SSL证书,是采用传统的仅销售SSL证书还是为政府用户提供SSL证书自动化管理服务,这个一定要看准方向,走对技术路线才能抓住商机。
第二件大事绝对是一个对我国CA包括SSL证书提供商和我国SSL证书用户都有巨大影响的事件,必须高度重视。对于CA机构来讲,头上永远悬着一把利剑,不知道哪一天就会被谷歌这把利剑刺伤。所以,不仅必须严格地按照国际标准签发国际SSL证书,而且必须有如果这边利剑落下来的应对预案,必须有多通道为用户签发国际SSL证书的能力。
而对于SSL证书用户来讲,传统的从CA机构申请SSL证书去人工部署方案不仅费时费力,而且不保险,说不定哪一天你使用的SSL证书签发机构的根就不受信任了,需要你重新申请证书和重新部署证书,这将是一个巨大的工作负担,这事对于SSL证书用户来讲真的非常无辜,但是没有办法。所以,最明智的做法是采用自动化方案,要求自动化证书管理服务提供商保证无论发生什么情况都能自动化实现HTTPS加密,也就是自动化方案不绑定某个CA机构,而是可以自动化切换证书签发通道,确保无论发生任何情况都无需重新申请和部署SSL证书,这才是一劳永逸的解决方案,这个方案也只有自动化方案才能做到。
四部委发布的《互联网政务应用安全管理规定》今天(7月1日)正式施行,这是我国SSL证书市场将获得更加快速增长的方向标,并必将进一步提升我国互联网政务应用安全稳定运行水平和数据安全水平。当然,这也是密码业界和网络安全业界的一个大利好,希望大家能抓住这个发展机遇。
2024年是“国密HTTPS加密自动化年”,今年极有可能落地90天有效期SSL证书安全政策,唯有自动化才能实现国密HTTPS加密的普及应用。唯有拥抱自动化,才能适应不断变化的网络安全浪潮,在数字时代实现稳健增长。