国内CA机构签发国际SSL证书的能力调研报告
2024年5月6日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

本报告由 零信浏览器零信任安全研究院 全球独家联合发布,电子版首发渠道为零信任安全研究院微信公众号:zotrusi 和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。

目前,国内用户特别是政府用户都倾向于选择国内CA机构签发的国际SSL证书,以满足身份数据不出境的相关要求。那么,国内有哪些CA机构有能力签发全球信任的国际SSL证书呢?这些SSL证书是否能满足用户的HTTPS加密应用需求呢?国内CA机构和国内SSL证书提供商如何抓住商密改造的大好机遇尽快占领SSL证书市场呢?零信浏览器和零信任安全研究院作为一个中立第三方首次联合发布了本调研报告,为政府机构和国内用户选购国际SSL证书提供参考。

本报告中的CA机构仅指国内CA机构,本报告中SSL证书提供商仅指SSL证书签发中级根C字段为CN(中国)的全球信任的国际SSL证书提供商,本报告中的国际SSL证书指国际四大浏览器信任的国际算法(RSA/ECC)SSL证书,而商密SSL证书是指国内商密浏览器(如:零信浏览器)信任的商密算法(SM2)SSL证书。

一、 国内CA机构的国际SSL证书签发情况

目前已经完成微软Edge浏览器和Windows操作系统、谷歌Chrome浏览器和安卓操作系统、Mozilla火狐浏览器、苹果Safari浏览器和iOS操作系统等四大主流浏览器根证书预置的国内CA机构只有3家:中金认证(CFCA)、上海CA、数安时代(GDCA),截止到2024年5月3日,这3家CA机构签发的有效DV SSL证书、OV SSL证书和EV SSL证书数量如下表1所示,这些数据来自谷歌证书透明日志系统,真实可信。其中,OEM SSL指CA机构为SSL证书提供商定制的SSL中级根证书签发的SSL证书,包括DV/OV/EV SSL证书,虽然这些SSL证书数量在SSL证书季度报告中未列入CA机构的统计数据中,但本报告列入是因为所有SSL证书的最终签发权和责任都是根CA机构。

国内CA机构的国际SSL证书签发情况 表1

中金认证只签发需要身份认证的OV和EV SSL证书,这一点值得点赞,因为DV SSL证书并没有网站身份信息,无法证明网站可信身份。而上海CA已经开始学习国际CA机构为国内SSL证书提供商定制SSL中级根证书,也值得点赞,因为只有这样,才能联合更多的有客户资源的非CA机构共同拓展SSL证书市场,从而实现快速占领市场。

而对于SSL证书类型,OV SSL证书占比高达76%,这完全同全球市场不一样,全球市场是DV SSL证书占比87%,而OV SSL仅占比13%。这个数据说明:目前国内CA机构主打市场是高端OV SSL证书,主打盈利能力,而不是低端的DV SSL证书市场(包括免费SSL证书),这个定位也没有问题,值得肯定。

二、 国内CA机构的根证书预置信任情况

国际SSL证书是否可用,取决于根证书是否已经预置到四大浏览器信任,如果仅仅是一两个浏览器信任,还不具备使用价值。国内CA机构已经有6家通过WebTrust审计,并且申请了四大浏览器的根预置信任,这6家CA机构是:中金认证、上海CA、数安时代、天威诚信、北京CA、亚数信息,具体各家CA机构的根证书预置情况如下表2所示,表格最后一行列出了各大浏览器发布的可信根列表的最新时间或者最新版本号。其中,上海CA的苹果Safari浏览器和Java信任是通过与欧洲CA机构Assecods根证书做交叉签名实现,这是快速实现四大浏览器信任的方式,也是最大可能支持最老设备的有效技术手段。

国内CA机构的根证书预置信任情况 表2

从表2可以看出,目前我国只有3家CA机构直接或间接完成了四大浏览器的根预置和信任,但是,这并不表明这3家CA签发的SSL证书的通用性是一样的,比如说:数安时代的根在苹果iOS预置的版本是12.1.3,在此之前的版本都是不信任的,如果用户不升级其iOS版本的话。对于Windows系统,由于微软采用了云端可信根下载模式,只要根已经预置信任,用户在第一次访问这个信任根签发的SSL证书时会自动下载可信根到Windows受信任的根证书存储处,所以Windows信任的根与预置时间先后没有太多关系,除非用户电脑不能联网。具体各家CA机构在四大浏览器的预置时间和支持的版本号,这里就不详细列出了,有兴趣的读者可以自己去查询或者咨询相关CA机构。

简单来讲,由于上海CA有欧洲CA的2008年老根做交叉签名,其签发的国际SSL证书的通用性更好。而中金认证的根证书已于2016年完成四大浏览器的预置信任,到现在已有8年了,也算是老根了,再老的设备也该淘汰了。数安时代的根证书则是2019年完成的,到现在也有5年了,也已经基本上支持各种常用设备了。用户可根据自己的业务需要和喜爱,选用这3家CA机构和其定制的中级根证书的SSL证书提供商签发的国际SSL证书。

三、 国内CA机构和SSL证书提供商应如何抓住商密改造的大机遇?

目前国内CA机构的国际SSL证书市场份额很低,这是由于我国SSL证书市场起步晚,CA机构起步时仅抓住了USB Key证书的市场机会,而忽视了正在悄悄快速发展的SSL证书市场。当然,还有一个主要原因是由于国际SSL证书的信任话语权掌握在美国四大浏览器厂商手中。所以,我国SSL证书市场除了2016年有短暂的6个月时间的国内CA机构市场份额超过国外CA机构外,截止到今年3月31日,我国CA机构的市场份额在政府市场仅占10.78%,而在整个中国市场的市场份额估计低于5%。

但是,现在机会来了,不仅是政府、金融等关键信息基础设施系统都会优先选购国内CA机构签发的国际SSL证书,确保符合相关数据不出境的合规要求,而且更重要是这些重要信息系统必须完成商密改造,必须采用商密SSL证书实现HTTPS加密。而为了兼容不支持商密算法浏览器,必须部署双算法双SSL证书—商密SSL证书和国际SSL证书,这就是国内CA机构和SSL证书提供商的大好机会,通过合规强制必须部署商密SSL证书来配套提供国际SSL证书,从而实现商密SSL证书和国际SSL证书的双丰收。

也就是说,国内CA可以通过国外CA无法提供的商密SSL证书而赢得竞争优势,CA机构和SSL证书提供商应该抓住这次黄金机会。通过分析证书透明日志数据发现,数安时代在安徽省取得非常好的成绩,不仅拿到了国际SSL证书的大量订单,而且同时实现了普及商密HTTPS加密到县级政府官网,一举两得实现了社会效益和经济效益双丰收,这里也为数安时代点赞。

可以说,现在国内CA机构又迎来了第二个高光时刻,把握好机会。但还需要继续在以下两点改进和提高:

第一:必须尽快实现所签发的商密SSL证书支持商密证书透明,切实保障商密SSL证书的自身安全可信。既然签发的国际SSL证书都已经支持国际证书透明,升级CA系统支持商密证书透明也不是一件难事,因为商密证书透明标准就是参考国际证书透明标准制定的,使用同一技术原理实现,只不过是采用了不同证书透明日志数据签名算法(SM2算法)而已。

第二:必须尽快实现双算法SSL证书的自动化管理,因为商密SSL证书的部署更需要自动化,彻底解决商密改造难题。两大国际CA机构(DigiCert和Sectigo)就是由于比其他厂商在自动化方面起步晚,而从全球第一和第二位沦落到了第六和第七位。这值得国内CA机构警示和深思,必须尽快拥抱证书自动化,抓住机遇,保持领先优势,实现新的飞跃,实现国际SSL证书和商密SSL证书的双丰收。

对于没有或不计划设置自有国际算法可信根的CA机构,也应该充分认识到这个市场趋势,尽快同已经拥有国际根的国内CA机构合作,国际SSL证书采用定制自己品牌中级根证书模式,而商密SSL证书则改造CA系统自己签发,尽快为用户提供双算法双SSL证书,尽快为用户提供自动化证书管理,而不是仅销售国际SSL证书,用户需要的是自动化实现HTTPS加密,自动化实现商密合规和全球信任的HTTPS加密,只有适应了市场的需要才能赢得市场,实现国际SSL证书和商密SSL证书的双丰收。

而对于国内SSL证书提供商和云服务提供商,同样可以发挥自己的客户资源优势,同国内CA机构合作定制国际SSL中级根证书和商密SSL中级根证书,为用户自动化提供双算法双SSL证书,也是有可能实现超越CA机构取得市场领先地位的,全球SSL证书市场就是这样把传统CA机构超越的,排名第一位的是一个软件厂商,第二三四五位都是云服务提供商,关键在于是否充分认识到这个巨大的商机和及时把握商机。

总之,商密合规要求对于国内CA机构和国内SSL证书提供商来讲都是一个大机会,一个可以实现把已经丢失的市场给拿回来的机会,大家赶紧行动起来,赢得双SSL证书市场,为普及商用密码应用做贡献,早日实现普及应用商用密码保障我国网空安全。