国密SSL证书(即采用中国商用密码算法的SSL证书,主要基于SM2椭圆曲线公钥算法)主要在那些对信息安全有高标准要求,特别是需要遵循国家密码管理局和网络安全相关法律法规的网站和系统中使用。
以下是会用到国密SSL证书的主要网站和系统类型:
一、政府及公共服务类网站
这是国密SSL证书应用最核心、最强制性的领域。根据国家密码法律法规要求,政务系统必须采用商用密码进行保护。
- 各级政府门户网站:省、市、县(区)各级人民政府及其下属部门的官方网站。
- 政务服务网/平台:如各地的“一网通办”平台、政务服务APP和小程序,涉及个人身份证、社保、公积金、营业执照等敏感信息的查询与办理。
- 公共事业缴费平台:水、电、燃气、交通罚款等在线缴费系统。
- 医疗卫生系统:医保服务平台、区域卫生信息平台、医院预约挂号系统等,保护居民健康隐私信息。
直接访问JoySSL,注册一个账号,填写注册码230961获得技术支持
二、金融行业
金融行业是信息安全的重中之重,对国密算法的应用有明确的推进时间表和要求。
- 网上银行:各大银行的企业网银和个人网银系统,是国密改造最早、最成熟的领域。
- 移动支付平台:部分银行APP、第三方支付机构的核心交易链路。
- 证券、基金、保险平台:在线交易、账户管理、信息披露等系统。
- 互联网金融平台:符合监管要求的合规平台。
三、关键基础设施和国有企业
这些领域关系到国计民生和经济命脉,是国家要求进行密码应用改造的重点行业。
- 能源行业:国家电网、南方电网的网上营业厅及智能电网系统;中石油、中石化的线上服务平台。
- 交通运输:航空公司的官网和APP(购票、值机)、铁路12306系统及相关核心系统、智能交通管理系统。
- 通信运营商:中国移动、中国联通、中国电信的网上营业厅、核心网络管理系统。
四、特定商业领域
虽然非强制,但许多对数据安全有高要求的企业也开始部署国密SSL证书,作为增强安全性和合规性的手段。
- 大型企业/OA系统:大型集团公司、上市公司的内部办公系统、VPN接入、邮件系统等,保护商业机密。
- 电子商务平台:部分对交易安全有极致要求,或客户群体包含大量政府、企业用户的大型电商平台。
- 云计算与数据中心:云服务提供商为满足客户(尤其是政企客户)的合规需求,提供基于国密算法的SSL卸载和加密服务。
五、为什么这些网站要使用国密SSL证书?
- 合规性要求:满足《中华人民共和国密码法》、《网络安全法》、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)等法律法规和国家标准的要求。没有通过密码应用安全性评估(密评)的系统可能无法上线运营。
- 技术自主可控:SM2算法是我国自主研发的商业密码算法,其安全性和性能与国际算法(如RSA、ECC)相当。使用国密算法可以减少对国外密码技术的依赖,保障我国网络空间的安全自主权。
- 提升安全性:对于重要领域,使用国产密码体系可以构建从底层算法到上层协议的全栈自主安全防护,避免潜在的后门风险。
需要注意的一点:双证书部署
由于目前主流的浏览器(如Chrome, Firefox, Edge, Safari)和操作系统(Windows, macOS, iOS, Android)的原生支持中,尚未普遍内置对国密SSL证书的信任根,因此许多网站在实际部署时会采用 “双证书” 策略:
- 国际证书(RSA/ECC):用于兼容全球通用的浏览器和设备,确保所有用户都能正常访问。
- 国密证书(SM2):用于满足国内合规要求,并且对于支持国密算法的浏览器(如360安全浏览器、红莲花浏览器、傲游浏览器等)或安装了国密根证书插件的用户,会优先使用国密算法进行加密通信,从而实现真正的国密防护。
总结来说,如果您访问的是中国政府机构、金融服务或关键基础设施的网站,那么您很大概率正在(或许在后台)使用国密SSL证书来保护您的数据安全。
