SSL证书厂家要有什么资质？SSL证书经销商要有什么资质？

不知道什么时候开始，很多人关注SSL证书厂家或者经销商（代理商）到底要什么资质，今天我们来展开讲讲。

1、请不要将SSL证书想的那么高级！

首先SSL证书这种数字证书技术，可以很明确的告诉你，不是什么秘密，也不需要你去搞什么研发，甚至也不要去申请专利，这项技术是公开的，你自己都可以在电脑上创建SSL证书，什么多域名，通配符，DV或者OV、EV你都可以在电脑创建，有效期想多少年都可以，不心情好可以折腾个一亿年的SSL证书。然而这样的SSL证书遇到最大的问题是，浏览器不信任！

SSL证书的问题不在于技术，而是浏览器信任的问题，一本再牛逼的SSL证书浏览器打不开，那就是白费功夫。

首先我们要搞清楚，要被SSL证书信任的几个对象是谁：Microsoft（微软）、Apple（苹果）、Mozilla（火狐）、Google（谷歌），这几个名字，你至少认识一家，因为这是你进入互联网时代的常识！其中微软我们知道是做Windows操作系统的，苹果我们也知道也做操作IOS或者macOS，谷歌是做安卓系统的，我们生活周边随便找人看看他的浏览器或者用的系统，就是所谓的国产内核也来自这些厂家，所以你的SSL证书要想被他们信任，首先你要按照他们的游戏规则来！他们组成了一个叫做CA/Browser Forum论坛，这个里面的成员都是主流安全厂家或者浏览器厂家，当然也包括主流的SSL证书厂家，这个论坛就是专门讨论关于SSL证书审核策略与相关安全的，你如果是SSL证书厂家这里面都没有你的名字，你就压根就不是SSL证书厂家（如果你以为你是，那么全世界的所有人都是SSL证书厂家，因为任何人都可以在计算机上生成一本SSL证书）。

这个论坛当然也有一个审计要求，你必须通过Webtrust(安全审计标准) ，如果你连这个都没有拿到，那就更别提什么CA/B成员或者入浏览器信任了，你的SSL证书和自己生成的没有什么两样。

我们首先要知道，这些大佬目前支持的算法有两种：

RSA算法（1997年提出）是目前比较成熟的算法，该算法比较早，所以当时成立的SSL证书厂家GlobalSign就可以支持古老的XP操作系统IE6浏览器信任。

ECC算法（1985年提出）不过这个算法2004年后才正式启动，目前微软的XP操作系统是不信任的，高于这个版本的操作系统都支持，该算法比较安全，而且椭圆曲线所以文件比较小，小小的不足就是古董的操作系统不信任，但我认为哪种古董的操作系统现在用的人比较少，所以ECC算法肯定是未来的主流。

你也许发现了一个问题，为什么没有国密算法，比如SM2这种算法，因为这种算法规则上根本没有按照CA/B和Webtrust规则来，而且这种算法建立根证书方式和RSA或者ECC完全不同，他是建立在国产浏览器里面的，而不是系统预设的，所以世界上主流的操作系统都不会认可，不光如此，甚至都不如自己电脑上生产的SSL证书，如果你要说安全其实道理上国密和ECC没有什么区别，ECC算法原理其实已经包括了国密算法，而且做的更好。

我们来回顾一下中国于‌1994年4月20日‌通过64K国际专线实现全功能接入国际互联网，正式开启互联网时代。那个时代有多少家中国SSL证书厂家？可以说一家都没有，我们把整个SSL证书厂家列出来，中国1998年上海CA成立，但SSL证书这个根证书正式发布2016年3月11日。什么意思？意思是2016年根证书才放出来，2016年已经发布的操作系统和浏览器不会信任这家SSL证书，原因很简单，已经发布的系统人家厂家是提前放进去的SSL证书厂家目录投入市场了，也有人贫嘴了，那更新漏洞不就好了？先不讲更新是不是同样的操作系统或者浏览器，就当他之前有没有通过CA/B和Webtrust，如果没有同样不会放进去，什么时候通过就什么时候信任，也不全是，比如目前的上海CA根证书苹果就不信任。

所以你要说国产SSL证书厂家要有什么资质，首先你看是什么时候成立的，如果是九几年成立的并且通过CA/B和Webtrust，然后入根四大根证书库的，那么这就是国产SSL证书，但经过小编整理，中国大陆、中国台湾、中国香港、中国澳门能找到的全部放在一起，要求放到最低就是不要让他所有浏览器信任，就一个主流的就好，能找到的一共10家，有兴趣的去看一下《中国国产SSL证书企业目录公告》，他们都有一个问题，古老的浏览器都不会信任，最新的浏览器有的厂家浏览器支持，有的不支持，总而言之比自己生成的SSL证书好一点的地方在于他通过了CA/B和Webtrust。

2、不要把国密算法和国际算法搞混

国密算法和国际算法一样，也不是什么秘密你也可以自己生成，但国密算法也有一套根证书目录叫做国家电子认证根CA，这种目录你要提前办理电子认证服务使用密码许可证，如果你非要较真，你把电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证服务机构资质证书，都办好了也没有什么问题。但这种资质和国际算法SSL证书信任或者使用没有什么关系，还是刚才那句话，外国人不看这个东西，这些东西对他们来说没用。所以国密算法根证书只有一些小众国密浏览器信任，比如：红莲花，赢达信，密信这种国密浏览器，如果你国际算法也可以在这些浏览器打开网站，因为这些国密浏览器他们同时支持国密算法和国际算法。但主流浏览器仅支持国际算法。

SSL证书经销商资质？

如果你非要说，那么营业执照就是你最好的资质，因为SSL证书和域名一样，这是注册业务，你只要找到可信的机构申请就可以了，买卖关系，要什么资质？你又不是厂家，我们有的时候开玩笑的说：“绝大数据卖SSL证书其实都是“贩子”只是有的卖家喜欢套一张国产的外衣，因为有的用户喜欢”。

SSL证书这个产品很容易认证，拿到SSL安装到服务器上，然后主流浏览器都打开一下网站看看访问是否正常，如果要查看SSL证书兼容性怎么样，你完全可以找一个SSL证书在线检测工具查看，当然如果你选择的是国际上的主流机构是肯定没有问题的。拿到SSL证书没有问题在付款就好了。

SSL证书厂家资质？

国际算法SSL证书厂家，国际算法RSA算法、ECC算法，然后通过WebTrust、CA/Browser Forum成员，就这两点为主，国产SSL证书厂家需要按照国内的相关规定取得：工业和信息化部颁发的《电子认证服务许可证》、国家密码管理局颁发的《电子认证服务使用密码许可证》、营业执照。

最后

其它什么资质都是和SSL证书没有丝毫关系，如果你要国产SSL证书，然后要求兼容性99%我们这里包括历史发布的操作系统和历史所有浏览器，那么你别去想了，中国没有，如果有商家推荐告诉你是的，你也很容易判断，这家公司什么时候成立的，如果是1999年之前成立的那么肯定不是，另外就是看一下这家公司的网站用的SSL证书根证书是什么，如果显示什么Sectigo、GlobalSign、Certum、DigiCert，毫无疑问，肯定是国外的，另外也可以问清楚对方是什么机构，机构的根证书名称叫什么，然后打开计算机电脑。

WIN键+R键，然后输入mmc，打开控制台界面，在“文件”选项选择“添加删除管理单元”。

然后点击：受信任的根证书颁发机构，你看看有没有这个厂家的名称。

还有一种办法，直接去预设根证书列表：Microsoft、Apple、Mozilla、Google查看，有没有这个机构。

当然是不是国产SSL证书，很多时候不在这里，因为有的人知道这是非原厂SSL证书，并不是真正的国产SSL证书，最终因为利益关系导致的腐败问题已经在中国传开，具体你自己分辨。

完全和SSL证书无关的资质有：行业奖项、高新技术企业、小巨人、菱角、独角兽、个人可识别信息信息安全管理体系认证证书、网络安全服务认证证书等级保护测评服务认证、CMMI资质认证、档案管理等级证书、信息安全服务资质、专精特新、软著、专利、质量管理体系认证、信息技术服务管理体系认证、ITSS信息技术服务标准符合性证书、信息安全管理体系认证、ITSS信息技术服务标准符合性证书、信息系统安全等级保护备案证明、信息安全服务资质认证。

如果你看到采购人（需求人）要求的是SSL证书（HTTPS证书、TLS证书、SSL数字证书相关名称）用以上无关的资质限制市场上的供应商投标报价的，那么说明这个项目已经被内定或者有意向提供商了。

谨记：支持主流历史浏览器及操作系统兼容性达到99%机构，全部在国外，而且全世界一共4家！