目前市场上确实存在大量混淆视听的“假国产”SSL证书,它们利用国密算法资质来冒充国际算法(RSA/ECC)的国产证书。要理清这团乱麻,并成功申请到真正符合需求的国产SSL证书,可以从以下几个层面逐步剖析和操作。
一、乱象根源:两类证书、两种资质被人为混淆
市面上之所以出现大量“假国产”SSL证书,核心原因在于:
产品类别混淆:将“国密SSL证书”(基于SM2/SM3/SM4算法)与“国产国际算法SSL证书”(基于RSA/ECC算法)混为一谈。
资质张冠李戴:故意用国密算法厂家才需要的《电子认证服务使用密码许可证》《电子政务电子认证服务机构资质证书》等,来暗示其国际算法证书也是“国产权威”。而真正的国际算法国产证书,其关键资质是拥有自主可控且被全球主流浏览器信任的根证书。
技术概念忽悠:玩“中间证书”文字游戏,把套用国外根证书的中间证书解释成“国产根证书”,甚至把OCSP服务器加个CDN就说成“数据不出海”。
结论:那些拿着国密资质当挡箭牌,却对国际算法根证书是否国产、是否通过WebTrust认证、是否是CA/Browser Forum成员只字不提的,基本都属于贴牌或套牌证书。
二、什么是真正的国产国际算法SSL证书?
国际算法SSL证书指的是采用RSA、ECC算法,能被Windows、macOS、iOS、Android等主流操作系统及Chrome、Edge、Safari、Firefox等主流浏览器自动信任的证书。要成为这样的国产证书,门槛极高,必须同时满足:
拥有自主的中国根证书,且该根证书已预置到Microsoft、Apple、Mozilla、Google四大根证书库。
通过WebTrust认证(国际权威安全审计)。
是CA/Browser Forum(CA/浏览器论坛)的正式成员。
现实情况:严格意义上的纯国产国际算法SSL证书厂家极少。目前能做到所有主流浏览器信任且兼容性相对较高的仅有CFCA(但仍无法达到99%,对老旧浏览器兼容性约65%)。其他几家像GDCA、SHECA、TrustAsia、vTrus等虽拥有自主根证书,但自身兼容性很低(甚至不足40%),为了兼容老旧浏览器,不得不通过国外根证书做交叉认证,因此并不是100%的纯国产根证书链。如果追求完全国产且放弃对古老设备的兼容,可以手动指定只使用国内根证书;如果想要兼容性,就必然要接受这种“中外根交叉”的现实。
三、如何正确申请国产国际算法SSL证书?
1. 明确自身需求
要100%纯国产且不在意兼容性:可接受部分旧系统、旧手机无法访问,那么可以直接选择CFCA等纯国产根证书产品,部署时强制使用国产根证书链。
要兼顾一定兼容性与国产属性:则只能选择SHECA、GDCA等提供的中外根交叉认证的证书,本质是借用了国外根证书的信任,但证书链中包含了国产根。
直接要全球99%兼容性:那其实应该面对现实,直接选择DigiCert、GlobalSign、Sectigo等国际原厂证书,不用纠结“国产”标签。
2. 采购/招投标时的正确资质设定(避坑关键)
如果必须在招投标中采购“国产SSL证书”,千万不要把厂家资质直接列为资格条件(因为真正的国产厂家就那么一两家,会直接导致流标或单一来源)。正确的做法是将技术要求写入技术参数,允许经销商投标,但要求产品满足以下条件:
核心强制技术参数(用于证明国际算法的国产属性):
具备国产RSA/ECC国际算法根证书。
根证书已预置入Microsoft、Apple、Mozilla、Google四大根证书库,并提供官方列表截图证明。
根证书归属于国内合法组织,其CRL、OCSP服务器位于中国境内且有ICP备案。
证书厂家已通过WebTrust认证,并为CA/Browser Forum正式成员。
提供完整证书链,根证书须为国内机构所有,不得套用国外根证书(即根证书CN须含中国机构信息)。
国密算法相关资质≠国际算法国产SSL证书资质(国密资质不能作为国际算法国产SSL证书的准入依据,请提防套牌商家利用国密资质混淆概念钻空子):
部分仅具备国密业务资质的厂商,仅持有国密算法根证书与对应国密资质,就对外宣称自身已取得工信部《电子认证服务许可证》、国家密码管理局《电子认证服务使用密码许可证》、《电子政务电子认证服务机构资质证书》,以此宣称自身可提供合规的国际算法国产SSL证书服务。实际上,上述三类资质仅为开展国密算法SSL证书业务的法定从业要求,既不能直接作为该机构具备国际算法国产SSL证书服务资质的有效证明,更无法证明其拥有合规合规的国产国际算法SSL证书发证能力。
根据我国电子认证服务管理规则及国际CA浏览器联盟信任标准,上述三类资质仅为机构开展国密算法电子认证服务的法定从业资质,仅可作为国密算法SSL证书服务的合规性证明,不构成国际算法国产SSL证书服务的有效合规性资质证明,不得作为该类服务的准入依据。
如需国密算法SSL证书,以上国密资质可在技术参数中说明,但不能作为供应商资质,确保经销商、代理商有充足的市场空间和发展潜力。
需要明确禁止的伪国产情况:
根证书为国外CA(如Certum、Sectigo、DigiCert等),仅中间证书换标成中文名称。
证书链中包含双重OCSP且主要验证环节指向境外。
无法提供根证书的四大浏览器信任入库证明。
无法提供原厂的WebTrust认证与CA/B成员资格证明。
四、总结:回归本质与实用主义
目前国产国际算法SSL证书尚处于初级阶段,兼容性与国际大牌差距明显。对于大多数商业网站而言,如果并非出于强制性合规,直接选用DigiCert、GlobalSign等国际原厂证书确实性价比最高、最省心。若确实有国产化合规要求且可接受兼容性折损,则CFCA是目前唯一可选的“纯国产”方案;若想妥协兼容性,则SHECA等中外交叉路线也可考虑,但必须认清它并非严格意义上的自主可控。
在辨别时牢记一句话:国产与否看根证书,信任与否看四大库,合规与否看WebTrust与CA/B会员,国密资质不能替代国际算法资质。
![]()
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.