国产根本土CA根证书是什么
锐安信(sslTrus)“国产根”里的“根”,指的是 根证书(Root CA Certificate)。
简单理解:
根证书 = 浏览器、操作系统默认信任的最高级证书。
网站 HTTPS 能显示“小锁”,本质上就是浏览器在检查:
- 这个网站证书是谁签发的
- 签发机构是否可信
- 最终能否追溯到一个“受信任根证书”
而锐安信“国产根”,意思通常是:
- 证书链最终锚定的是中国本土 CA 的根证书
- 验证、签发、OCSP 状态校验节点更多在国内
- 更强调“数据不出境”“国产化”“信创兼容”
例如 sslTrus 官方与相关资料中提到:
- “采用国产可信根”
- “国内验证、国内签发、国内 OCSP 验签”
- “满足数据不出境需求”
目前锐安信(sslTrus)实际公开提到的根包括:
- SSLTrus RSA Root CA
- SSLTrus ECC Root CA
并且资料称已经进入部分主流信任库。
你可以把它理解为:
| 类型 | 本质 |
|---|---|
| DigiCert 根 | 国外 CA 根 |
| Sectigo 根 | 国外 CA 根 |
| CFCA 根 | 国产 CA 根 |
| sslTrus 根(锐安信) | 国产 CA 根 |
但这里有一个行业里很重要的区别:
“国产品牌” ≠ “国产根”
很多人容易混淆。
锐安信其实有多个系列:
| 系列 | 特点 |
|---|---|
| 国际根系列 | 用全球主流国际根 |
| 国产根系列 | 用国产可信根 |
| 多根方案 | 支持根切换 |
官方资料里也明确提到其有:
- Basic
- Pro
- 标准版(国产根)
等不同体系。
所以:
锐安信国产根到底意味着什么?
核心是这几个:
1. 国内验证节点
DV/OV 验证更多走国内链路。
适合:
- 海外访问被限制
- 高防禁止海外回源
- 政务/国企
- 内网国产化项目
2. OCSP 本地化
证书状态校验服务器在国内。
有些国际 CA:
- OCSP 在海外
- 海外网络抖动会影响 HTTPS 首包
国产根会优化这一点。
3. 国产化/信创兼容
更容易适配:
- 麒麟
- 统信 UOS
- 信创浏览器
- 国企采购要求
4. 数据不出境
这是很多政府、金融、运营商项目关注的点。
不过你也要注意一个现实问题:
“国产根”不等于“全球兼容性一定最强”
真正决定兼容性的,是:
根证书是否进入:
- Windows
- macOS
- Mozilla
- Android
- iOS
是否被主流浏览器默认信任
国际 CA 在全球历史更长,因此:
- 老旧安卓
- 海外设备
- IoT 终端
- 特殊嵌入式环境
通常国际根兼容性仍更成熟。
所以现在很多 CA 都在做:
“双根 / 多根策略”
国内场景走国产根,国际兼容场景走国际根。
国产根证书本质上属于 OV(企业验证型)SSL证书,特点是:
- 既验证域名控制权
- 又验证企业真实身份
- 同时采用“中国本土CA根证书体系(国产根)”
简单来说,国产根证书就是由国内机构签发、被本地系统和浏览器信任的 SSL 证书根源,用于保障网站安全和用户数据隐私。
京公网安备11010502031690号
网站经营企业工商营业执照
