政企网站为什么必须部署国密SSL证书?
政企网站必须部署国密SSL证书。这不是可选项,而是等保三级、密码法合规与政务信创落地的硬性要求。自《中华人民共和国密码法》实施以来,关键信息基础设施和政务系统已强制要求采用SM2/SM3/SM4等国产密码算法实现HTTPS加密。仅使用国际RSA证书,在红莲花、360国密版、密信等主流国密浏览器中将无法建立安全连接,地址栏不显示绿锁,甚至直接拦截访问。
国密SSL证书不仅是算法替换,更是信任体系重构。它依赖国内CA(如华测、CFCA、锐安信、沃通)签发的国密根证书,嵌入国产浏览器信任库,形成自主可控的PKI闭环。2024年起,沃通国密根证书已正式入根红莲花安全浏览器,政企站点部署沃通V4级国密SSL证书后,地址栏可直接显示单位全称,强化身份可信度——这在金融监管报送、政务服务平台登录等强身份场景中不可替代。
国密SSL与国际SSL的核心差异
信任锚点不同
国际SSL证书依赖DigiCert、Sectigo、GlobalSign等境外CA的根证书,其信任链最终锚定在WebTrust认证的海外根;而国密SSL必须由国家授牌CA(如CFCA、华测、锐安信)签发,根证书预置在红莲花、360国密版等国产浏览器中。若政企系统未完成国密根证书预埋,即使证书本身有效,浏览器也会报“NET::ERR_CERT_AUTHORITY_INVALID”错误。
算法与协议栈隔离
国密SSL并非简单替换密钥长度,而是整套协议栈切换:TLS 1.1+ 国密套件(如ECC-SM2-SM4-CBC)、X.509v3证书结构扩展、OCSP响应签名使用SM3哈希。实际部署中,常见问题是Nginx未启用国密模块或OpenSSL版本低于1.1.1k,导致握手失败。我们曾协助某省级政务云排查发现:其负载均衡设备固件仅支持RSA,需升级至支持SM2的专用SSL网关才能完成国密改造。
政企部署国密SSL的工程现实
真实政企环境存在三重约束:一是国产中间件适配(如东方通TongWEB、金蝶Apusic),二是信创硬件兼容(飞腾CPU+麒麟OS组合下需定制编译OpenSSL),三是多系统共存(旧系统用RSA,新业务用SM2)。推荐采用“SM2/RSA双证书”方案——沃通、华测均提供该能力,在同一域名下并行部署两套证书,由客户端自动协商选择,避免业务中断。
特别注意:国密证书不支持Let’s Encrypt自动化签发,且DNS验证方式受限。2021年12月起,CA/B Forum明确禁止通配符证书使用文件验证,而国密CA普遍要求DNS或HTTP人工验证,政企需提前准备DNS解析权限或对接内网验证平台。某市大数据局曾因DNS服务商不开放API权限,延误国密改造上线两周。
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 适用范围 | 等保三级、密码应用安全性评估(密评)要求 | 金融、政务、能源、交通等关键行业系统必须部署 |
| 证书类型 | CFCA EV国密、华测OV国密、锐安信SM2、沃通V4 | 优先选用CFCA或华测EV级国密证书,满足密评“身份鉴别+传输加密+完整性保护”三项要求 |
| 部署限制 | 需国密SSL网关或支持SM2的Web服务器 | Nginx需编译国密模块;Apache需mod_ssl国密补丁;IIS暂不原生支持,需前置WAF |
常见问题
Q:已有国际SSL证书,能否直接替换为国密证书?
A:不能直接替换。需重新申请国密证书、更新私钥、配置国密协议栈,并测试所有终端兼容性。建议采用双证书过渡方案。
Q:国密SSL证书在Chrome/Firefox中能用吗?
A:可以,但需搭配SM2/RSA双证书。国密浏览器走SM2通道,国际浏览器自动回退至RSA通道,无需用户干预。
Q:政务外网是否必须用国密证书?
A:是。根据《政务信息系统密码应用基本要求》,面向公众服务的政务外网系统必须支持国密算法HTTPS,否则密评无法通过。
京公网安备11010502031690号
网站经营企业工商营业执照
