一.服務器證書是網絡信息安全的基礎
伴隨著互聯網金融、網絡購物、在線支付、電子合同等網絡應用的高速發展,信息安全的重要性日益凸顯,而多數網絡應用都離不開一個重要的安全認證措施,即數字證書。數字證書就像是互聯網上的電子身份證,用來標識信息單元的個體身份信息。而當網站服務器安裝數字證書后,便可向網站訪問者證明服務器的真實身份,因為數字證書是由一個受信任的第三方權威機構——CA(證書管理機構)產生、分配并管理的,就像公民個人身份證一樣具有唯一性,無法篡改和仿冒。
我們知道,互聯網安全存在兩大基本隱患,一是因為身份認證機制的缺位,使網絡成為各種“釣魚”詐騙行為的溫床,導致互聯網空間缺乏信任。另一方面,互聯網每時每刻都在傳輸數以億萬的信息,這些信息如果未經加密,就有可能遭到竊取或篡改,造成難以估算的損失。而安裝在服務器上的數字證書在提供網站身份認證的同時,還可對網絡傳輸的信息數據進行加密,確保其在傳輸過程中的機密性和完整性。這種安裝在服務器上、解決了網絡信息安全兩大主要隱患的數字證書就是服務器證書(SSL證書)。在西方國家,半數以上的網絡流量經過服務器證書的加密,而美國讓所有政府類網站都進行服務器證書認證。雖然服務器證書不可能解決所有安全問題,但其已經成為一種必備的網站安全產品,堪稱網絡信息安全的基礎。
二.服務器證書國產化刻不容緩
在我國,服務器證書最早只在銀行類網站使用,但隨著人們信息安全意識的提高,互聯網金融、電子政務、電郵、電商等多個行業的網站也在逐步普及服務器證書。目前,國外品牌的服務器證書在我國擁有更高的市場占有率,但國外證書的根證書系統在國外,聯想到近年發生的“棱鏡門”等境外竊聽、泄密事件,其安全隱患不可不防。例如政府、科研、中央企業等機構的網站服務器如果安裝國外證書,一旦遭遇境外的黑客攻擊、信息竊取,又怎能相信其可以發揮信息安全基礎的作用?正如習近平主席所指出的,互聯網發展對國家主權、安全、發展利益提出了新的挑戰,沒有網絡安全就沒有國家安全。在我國將網絡安全提升至國家戰略層面的大背景下,作為一種必備的安全產品,服務器證書的國產化刻不容緩。
三.服務器證書國產化現狀
前文提及國外服務器證書擁有更高的市場占有率,主要原因可歸納為以下三點:
(1)國產證書起步較晚。國外證書的產品銷售、市場推廣往往都有十幾甚至二十幾年的歷史,而國產證書在市場、渠道、品牌等方面的建設不過數年,尚在起步階段。
(2)多數國產證書的用戶體驗度不及國外證書,例如無法支持手機端、僅能支持部分瀏覽器等。
(3)一款能得到市場認可的服務器證書產品需要如瀏覽器、Web服務器、操作系統對根證書的信任等各環節的標準化與相互支持。而這些環節的標準均有國外機構制定,中國廠商如想符合絕非易事。
目前,只有通過WebTrust國際安全審計認證的CA機構,才有資格將自己的服務器證書根證書植入到各大根證書管理機構中,比如微軟、谷歌、Mozilla等,這樣才算成為一張獲得全球信任、支持所有設備和瀏覽器的服務器證書。完成以上工作對國內CA來說是一項艱巨、漫長的工作,如果CA無法完成以上工作,企業和機構就不會選擇它頒發的服務器證書。在我國,通過WebTrust認證的CA只有上海CA、沃通CA、廣東CA 和CFCA(中國金融認證中心)四家。但在之后入根各大根證書管理機構的過程中,有的CA因為種種障礙陷入停滯。有的CA則通過收購國外根證書系統,再將系統遷移至國內的方式完成入根,但卻無形中在海外留下“后門”,導致穩定性不高、存在安全風險。據了解,目前只有CFCA完成了主要的入根工作,并在我國境內自建了全球服務器證書根證書系統,實現了服務器證書的100%國產化。
四.服務器證書國產化建議
服務器證書是互聯網的安全基石,而一個國家的網絡安全只有建立在獨立自主的基石之上才足夠穩固。針對我國服務器證書的國產化現狀,本文提出三點建議,希望可以加快其國產化進程:
(1)擴大我國在服務器證書規則制定中的國際話語權
前文已經提及,服務器證書的各項規則標準均由海外機構制定,我國CA行業之前幾乎沒有參與過這些標準的制定,無法在規則中體現自己的意志和訴求。因此,建議由政府或行業組織來推動、協調產業界或學術界關注這一問題,積極參與標準制定。目前,已有部分國內CA加入了制定服務器證書入根和業務執行標準的CA/瀏覽器論壇(簡稱CAB),應該說這是一個良好的開端(2)建立全國統一的協作機制,積極推進國產化
一直以來,我國均按照各地區各行業自行建立CA認證機構。這使得區域性、行業性CA發展很快,國產化程度較高。但這種具有封閉性的產業模式,也僅能滿足特定行業、區域的需求,一旦面對高度開放、大眾化的服務器證書應用領域,就無法實現行業和區域需求的全覆蓋。所以,建議應盡快完成我國電子認證體系的頂層設計和統一規劃布局,用統一的協作機制推動國產化。
(3)政策引導,苦練內功
目前,我國已經擁有100%國產化且在功能上媲美國外品牌的國產服務器證書。但因其推出時間較晚,所以在市場認知度上相較國外證書落后很多。在這種情況下,國家可考慮在重點領域大力推廣國產證書的應用,以引導企業優先安裝國產服務器證書。但“打鐵還要自身硬”,國內CA若想在服務器證書領域做大做強,必須不斷提高自身實力。在完全自主研發、自建根證書系統的基礎上,完善證書對各個瀏覽器、操作系統的支持,提高用戶體驗。同時加強售前、售后能力及市場推廣力度。用過硬的產品和完善的服務,提高國產證書的市場占有率。
更多SSL證書信息,請訪問SSL證書專區
京公網安備 11010502049343號