SSL证书要不要电子认证服务许可证、电子认证服务使用密码许可证

最近很多单位，莫名其妙接到电话，这些电话的主体运营单位是一家北京公司，称自己是国产SSL证书厂家，拥有各项合法：电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证服务机构。

当然有机关单位、事业单位为保公平、公正、公开的原则，把这些资质作为招投标供应商资格要求。

问题一、SSL证书供应商到底要不要电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证资质？

SSL证书的代理商、经销商或者是售卖SSL证书的提供商，不需要这些资质。需要这些资质的只有生产国密算法的SSL证书厂家，切记是国密算法！不包括国际算法。

问题二、什么样子的SSL证书公司才需要这样的资质？

如果是一家SSL证书国密算法厂家，依据国密算法的要求，厂家是需要电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证服务机构。

问题三、那么国际算法SSL证书是不是也需要电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证服务机构这样的资质呢？

不需要。国际算法属于全球公共类型算法，SSL证书厂家需要满足以下3个条件：

1、CA/Browser Forum成员

2、通过WebTrust认证

3、根证书预设到Microsoft、Apple、Mozilla、Google入根四大根证书库。

如果是国际算法中国厂家，那么除了满足以上3点，根证书还必须CN中国根证书，如图：

问题四、如何识别是不是SSL证书厂家？

我们生活周边所看到的网站用的都是国际算法SSL证书，这些证书被浏览器、操作系统信任，首先就必须有根证书预设到这些浏览器或操作系统。

识别方法，打开声称是SSL证书厂家的官方网站，点击地址栏小锁——查看证书详情——根证书是什么，如果显示的：Certum、USERTrust、DigiCert，那么毫无疑问这是国外的SSL证书（如图）

但你如果打开发现和正规CA机构的网站中间证书名称插入比较大，那么说明这是套牌贴牌SSL证书，目前中国有很多这样的提供商，而且不知情的政府网站就目前都在用。

我们来看一下正规CA机构官方网站的证书是什么样子的，以下是全球仅有被公共可信包括历史浏览器兼容性达到99%的机构，你会发现这些CA机构的厂家网站用的根证书、中间证书都属于自己的，相反套牌贴牌SSL证书并不是。

问题五、需要国产厂家的SSL证书怎么做？

如果你必须要用国产SSL证书，并且确定是被谣言忽悠，那么你必须要放弃部分浏览器的访问，因为目前的国产SSL证书即使是国际算法厂家，兼容性最高的仅有CFCA一家，但仍然出现古老的浏览器及操作系统不信任的问题，往后的纯国产证书比如上海CA因为根证书没有被苹果信任，导致在苹果浏览器无法100%国产，然而广东CA出现的问题是根证书兼容性不好，也只能满足当前的主流浏览器版本信任，信任度不如CFCA。

但很多人选择SSL证书已经忘记了什么？用了SSL证书后用户打不开网站，要网站何用？

目前存国产仅有CFCA兼容性略高一筹，其它的国产SSL证书说兼容性好的全部是套牌贴牌的假国产SSL证书，根本没有带有中国CN国际算法的根证书，这样的SSL证书在很多云服务器提供商里面还在经营销售，为了利益不断地在中国市场忽悠。

您可以选择套牌贴牌SSL证书，但请别把这些SSL证书称之为国产SSL证书，因为他根本不是国产SSL证书！

世界大佬级别的网站用5年实践经验告知所人，DV类型SSL证书将成为世界主流，在认证实名期限将不断缩短，2029年3月15日最长有效期47天，未来OV、EV类型将无法满足SSL证书改革需要，SSL证书唯有在加密算法手段上要狠下功夫，才能真正实现安全，而不是搞虚无的实名认证，你应该做好自动化SSL证书实现了。

友好的建议，选择国际算法除了要考虑到兼容性，还要考虑到算法，我们是时候放弃RSA算法，应该迈向ECC算法SSL证书，并且缩短SSL证书，更新私钥实现自动化。