国企网站必须部署SSL证书吗?
必须。所有面向公众提供服务的国企网站,无论是否涉及用户登录或数据提交,都应部署受浏览器信任的SSL证书,启用HTTPS加密。这是等保三级合规的强制要求,也是国家密码管理局《商用密码应用安全性评估管理办法》明确规定的基线安全措施。
当前主流浏览器已将HTTP标记为“不安全”,国企网站若未启用HTTPS,会在地址栏显示红色警告图标,严重损害政府公信力与公众信任。从2023年起,中央网信办、工信部联合开展政务类网站安全专项检查,未配置有效SSL证书的站点被列为高风险整改对象。
国企网站SSL证书的技术合规要点
必须满足国密算法与双证兼容要求
依据《GM/T 0024-2014 SSL VPN技术规范》及《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》,关键信息基础设施类国企(如能源、交通、金融)需优先选用支持SM2/SM3/SM4国密算法的SSL证书,并实现RSA+SM2双证书部署。仅使用国际算法证书(如RSA2048+SHA256)已无法通过密评终审。
真实运维经验:某省级电网平台曾因仅部署单RSA证书,在等保复测中被判定为“密码应用不合规”,导致系统上线延期47天。后续采用华测CA提供的国密SM2双证书方案,配合Nginx国密模块完成改造,一次性通过密评。
证书类型选择需匹配业务场景
国企官网、信息公开平台推荐选用OV SSL证书(OV SSL证书),其企业身份经CA人工核验,可展示单位全称,增强公众识别度;核心业务系统(如电子招投标、统一身份认证)必须使用EV SSL证书(EV SSL证书),在Chrome地址栏直接显示单位名称,强化法律效力;内部管理系统若含子域名集群(如oa.xxx.gov.cn、hr.xxx.gov.cn),应部署通配符SSL证书(通配符SSL证书)以降低运维复杂度。
根证书信任链必须国产化
避免依赖境外根CA(如DigiCert、Sectigo)。国内国企应优先选择CFCA、华测、锐安信(sslTrus)等具备《电子认证服务许可证》的国产CA机构签发的证书。这些机构的根证书已预置入红莲花、360安全浏览器及国产操作系统,且支持中国密码管理局SM2根证书体系。
| 验证维度 | 等保三级/密评要求 | TopSSL专家建议 |
|---|---|---|
| 证书算法 | 必须支持SM2签名+SM4加密 | 选用国密SSL证书,禁用纯RSA证书 |
| 有效期 | ≤12个月(2026年起逐步过渡至≤47天) | 优先选择锐安信国产根DV证书,自动适配新规 |
| 部署方式 | 须完整配置证书链,禁用中间证书裁剪 | 使用SSL证书链下载工具校验完整性 |
国企SSL证书部署实践难点
常见障碍是老旧系统兼容性问题。例如部分基于WebLogic 10.3.6或IIS 7.5构建的国资监管平台,不支持TLS 1.2以上协议,需同步升级JDK或启用SChannel策略。我们曾协助某央企完成237个历史系统的HTTPS迁移,其中19%需定制化TLS降级策略(保留TLS 1.1兼容),但必须加注“仅限内网访问”水印并隔离审计日志。
另一个典型问题是证书续期自动化缺失。国企采购流程长,人工续费易超期。建议采用ACME协议对接CFCA或华测API,实现证书生命周期自动轮转。TopSSL平台已支持CFCA OV SSL证书的API自动续签,平均节省运维工时72小时/年/系统。
常见问题
Q:国企内部OA系统只在内网访问,还需要SSL证书吗?
A:需要。根据《GB/T 22239-2019 等保2.0》要求,内网信息系统同样需实施传输加密。可申请内网专用SSL证书(如华测内网IP证书),或部署私有PKI体系。
Q:已购买三年期SSL证书,为何浏览器提示“证书仅剩60天”?
A:自2024年9月起,CA/B论坛强制要求新签发证书有效期≤398天。您看到的是实际剩余有效期,非签发时长。建议改用锐安信SM2国密证书,其有效期策略更适配国企长期规划。
Q:如何验证SSL证书是否通过密评?
A:使用SSL证书检查工具确认证书含SM2公钥、签名算法为sm2WithSM3,并通过CFCA密评服务平台提交《商用密码应用安全性评估报告》。
京公网安备11010502031690号
网站经营企业工商营业执照
