网络安全 国之大事 服务器证书国产化刻不容缓
来源:中国电子银行网 更新时间:2016-01-28

一.服务器证书是网络信息安全的基础

伴随着互联网金融、网络购物、在线支付、电子合同等网络应用的高速发展,信息安全的重要性日益凸显,而多数网络应用都离不开一个重要的安全认证措施,即数字证书。数字证书就像是互联网上的电子身份证,用来标识信息单元的个体身份信息。而当网站服务器安装数字证书后,便可向网站访问者证明服务器的真实身份,因为数字证书是由一个受信任的第三方权威机构——CA(证书管理机构)产生、分配并管理的,就像公民个人身份证一样具有唯一性,无法篡改和仿冒。

我们知道,互联网安全存在两大基本隐患,一是因为身份认证机制的缺位,使网络成为各种“钓鱼”诈骗行为的温床,导致互联网空间缺乏信任。另一方面,互联网每时每刻都在传输数以亿万的信息,这些信息如果未经加密,就有可能遭到窃取或篡改,造成难以估算的损失。而安装在服务器上的数字证书在提供网站身份认证的同时,还可对网络传输的信息数据进行加密,确保其在传输过程中的机密性和完整性。这种安装在服务器上、解决了网络信息安全两大主要隐患的数字证书就是服务器证书(SSL证书)。在西方国家,半数以上的网络流量经过服务器证书的加密,而美国让所有政府类网站都进行服务器证书认证。虽然服务器证书不可能解决所有安全问题,但其已经成为一种必备的网站安全产品,堪称网络信息安全的基础。

二.服务器证书国产化刻不容缓

在我国,服务器证书最早只在银行类网站使用,但随着人们信息安全意识的提高,互联网金融、电子政务、电邮、电商等多个行业的网站也在逐步普及服务器证书。目前,国外品牌的服务器证书在我国拥有更高的市场占有率,但国外证书的根证书系统在国外,联想到近年发生的“棱镜门”等境外窃听、泄密事件,其安全隐患不可不防。例如政府、科研、中央企业等机构的网站服务器如果安装国外证书,一旦遭遇境外的黑客攻击、信息窃取,又怎能相信其可以发挥信息安全基础的作用?正如习近平主席所指出的,互联网发展对国家主权、安全、发展利益提出了新的挑战,没有网络安全就没有国家安全。在我国将网络安全提升至国家战略层面的大背景下,作为一种必备的安全产品,服务器证书的国产化刻不容缓。

三.服务器证书国产化现状

前文提及国外服务器证书拥有更高的市场占有率,主要原因可归纳为以下三点:

(1)国产证书起步较晚。国外证书的产品销售、市场推广往往都有十几甚至二十几年的历史,而国产证书在市场、渠道、品牌等方面的建设不过数年,尚在起步阶段。

(2)多数国产证书的用户体验度不及国外证书,例如无法支持手机端、仅能支持部分浏览器等。

(3)一款能得到市场认可的服务器证书产品需要如浏览器、Web服务器、操作系统对根证书的信任等各环节的标准化与相互支持。而这些环节的标准均有国外机构制定,中国厂商如想符合绝非易事。

目前,只有通过WebTrust国际安全审计认证的CA机构,才有资格将自己的服务器证书根证书植入到各大根证书管理机构中,比如微软、谷歌、Mozilla等,这样才算成为一张获得全球信任、支持所有设备和浏览器的服务器证书。完成以上工作对国内CA来说是一项艰巨、漫长的工作,如果CA无法完成以上工作,企业和机构就不会选择它颁发的服务器证书。在我国,通过WebTrust认证的CA只有上海CA、沃通CA、广东CA 和CFCA(中国金融认证中心)四家。但在之后入根各大根证书管理机构的过程中,有的CA因为种种障碍陷入停滞。有的CA则通过收购国外根证书系统,再将系统迁移至国内的方式完成入根,但却无形中在海外留下“后门”,导致稳定性不高、存在安全风险。据了解,目前只有CFCA完成了主要的入根工作,并在我国境内自建了全球服务器证书根证书系统,实现了服务器证书的100%国产化。

四.服务器证书国产化建议

服务器证书是互联网的安全基石,而一个国家的网络安全只有建立在独立自主的基石之上才足够稳固。针对我国服务器证书的国产化现状,本文提出三点建议,希望可以加快其国产化进程:

(1)扩大我国在服务器证书规则制定中的国际话语权

前文已经提及,服务器证书的各项规则标准均由海外机构制定,我国CA行业之前几乎没有参与过这些标准的制定,无法在规则中体现自己的意志和诉求。因此,建议由政府或行业组织来推动、协调产业界或学术界关注这一问题,积极参与标准制定。目前,已有部分国内CA加入了制定服务器证书入根和业务执行标准的CA/浏览器论坛(简称CAB),应该说这是一个良好的开端

(2)建立全国统一的协作机制,积极推进国产化

一直以来,我国均按照各地区各行业自行建立CA认证机构。这使得区域性、行业性CA发展很快,国产化程度较高。但这种具有封闭性的产业模式,也仅能满足特定行业、区域的需求,一旦面对高度开放、大众化的服务器证书应用领域,就无法实现行业和区域需求的全覆盖。所以,建议应尽快完成我国电子认证体系的顶层设计和统一规划布局,用统一的协作机制推动国产化。

(3)政策引导,苦练内功

目前,我国已经拥有100%国产化且在功能上媲美国外品牌的国产服务器证书。但因其推出时间较晚,所以在市场认知度上相较国外证书落后很多。在这种情况下,国家可考虑在重点领域大力推广国产证书的应用,以引导企业优先安装国产服务器证书。但“打铁还要自身硬”,国内CA若想在服务器证书领域做大做强,必须不断提高自身实力。在完全自主研发、自建根证书系统的基础上,完善证书对各个浏览器、操作系统的支持,提高用户体验。同时加强售前、售后能力及市场推广力度。用过硬的产品和完善的服务,提高国产证书的市场占有率。