使用国密SSL证书，实现SSL/TLS传输层国密改造

发布日期：2023-04-13

密码是保障网络空间安全可信的核心技术和基础支撑，通过自主可控的国产密码技术保护重要数据的安全，是有效提升我国信息安全保障水平的重要举措。因此，我国高度重视商用密码算法的应用并出台相关政策法规，大力推动国产商用密码算法在金融与重要领域的应用。

目前，国密算法已经成熟应用于金融及重要领域的密码芯片、加密卡、加密机、安全网关、专用安全终端等产品中。近年来，沃通CA专注国产密码技术创新应用研究与实践，以国密数字证书创新应用为核心，将国密算法的应用拓展到HTTPS加密认证等互联网应用中，实现基于国密算法和国密证书的HTTPS加密应用，保护传输中数据的安全，实现传输层SSL/TLS国密改造。

政策背景

2011年，国密局50号文件《关于做好公钥密码算法升级工作的通知》，要求新投入运行并使用公钥密码的信息系统，应使用SM2椭圆曲线密码算法；2012年以来，国家密码管理局以《中华人民共和国密码行业标准》的方式，陆续公布了SM2/SM3/SM4等密码算法标准及其应用规范,ZUC和SM2/SM3/SM9算法已成为国际标准。
2018年，国务院办公厅36号文件《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》要求，在金融银行、电子政务、教育、交通运输、民生保障等关键领域全面推进自主可控密码技术的应用。
2020年1月1日《密码法》正式施行，以及2021年3月《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）的发布，推动我国密码合规应用进入快速发展阶段，国密改造业务在政府、金融等领域加速落地。
GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》将于2023年5月1日正式实施，强化了关键信息基础设施中密码技术的应用和管理要求。

为什么需要SSL/TLS传输层国密改造？

SSL/TLS 安全通信的本质是通信对端采用安全的密码协商协议、密码套件，用于后续通信内容的加解密，协商过程中涉及到签名验签以及相应的密钥交换等多种密码算法，如果其中存在某个潜在后门漏洞算法，数据传输安全将面临巨大安全风险。GB/T 39786对网络和通信安全层面的密码应用提出了明确的技术要求，涉及通信主体的各个要素，都需要遵循要求进行密码技术改造升级。因此，SSL/TLS传输层国密改造是信息系统国密改造不可忽视的一环，而国密SSL证书是实现SSL/TLS国密改造的重要应用产品。

什么是国密SSL证书？

国密SSL证书工作机制和常用的国际算法RSA SSL证书一样，但采用我国自主设计的SM2椭圆曲线公钥算法体系，遵循我国国家标准和管理规范。

沃通国密SSL证书是国密合规的SSL证书产品，遵循国家标准技术规范并参考国际标准，支持SM2/SM3/SM4国产密码算法和国密安全协议，兼容360浏览器、沃通国密浏览器、红莲花浏览器等主要国密浏览器，兼容安恒WAF等支持国密算法的网络安全产品；采用自主可控密码技术保护数据机密性、完整性，防止数据在传输过程中被窃取或篡改，实现国密HTTPS加密通信以及服务器身份认证。

沃通国密SSL证书支持域名验证（V1）、单位验证（V3）、扩展验证（V4）等多种验证级别，支持绑定单域名、多域名、通配域名、混合域名、公网IP等多种类型，满足政企单位国产国密SSL证书的应用需求。

“SM2/RSA双证书”应用方案

国密SSL证书的应用依赖支持国密算法的软件应用环境，为解决国密算法在HTTPS加密应用中面临的兼容性难题，沃通CA首推“SM2/RSA双证书”部署模式，在国密SSL支持模块或国密SSL网关上部署SM2/RSA双SSL证书，当用户使用国密浏览器访问时，自动采用国密算法HTTPS加密；当用户使用Chrome、火狐、IE、Safari等不支持国密算法的全球通用浏览器访问时，自动采用RSA算法HTTPS加密，自适应兼容所有浏览器及移动终端，基于稳步推进、分步实施原则，推动国密算法普及应用。