一、核心要求:国产密码算法与合规性
-
算法强制要求
等保密评依据《商用密码应用安全性评估管理办法》及GB/T 39786-2021标准,明确要求网络通信必须采用国产密码算法(SM2/SM3/SM4)进行加密和签名。- SM2:替代RSA的国产非对称加密算法,密钥长度256位即可达到RSA 3072位的安全强度。
- SM3:替代SHA-256的国产哈希算法,抗碰撞性更强。
- SM4:替代AES的国产对称加密算法,适用于数据传输加密。
结论:必须选择支持国密算法的SSL证书(如国密SSL证书或双算法证书),仅支持RSA/ECC的国际证书无法通过测评。
-
合规性验证
证书需通过国家密码管理局的《电子认证服务使用密码许可证》认证,且CA机构需具备《电子认证服务许可证》资质(如JoySSL、CFCA等国内CA)。
国密SSL证书申请入口
电脑端JoySSL官网,填写230950获取一对一技术支持
二、验证级别:OV/EV证书为强制选项
-
DV证书的局限性
域名验证(DV)证书仅验证域名所有权,不验证组织身份,无法满足等保二级及以上对“通信主体可信认证”的要求。- 风险案例:某企业使用DV证书导致测评被否,需紧急更换OV证书后重新测评。
-
OV/EV证书的优势
- OV证书:验证组织合法性(营业执照、域名归属等),浏览器地址栏显示企业名称,增强用户信任。
- EV证书:最高验证级别,需人工审核企业注册信息、物理地址等,浏览器地址栏显示绿色企业名称+安全锁图标。
结论:等保二级及以上系统必须使用OV或EV证书,金融、政务等高风险场景推荐EV证书。
三、密钥长度与加密协议:2048位+TLS 1.2为底线
-
密钥长度要求
- RSA算法:密钥长度≥2048位(等保三级要求)。
- ECC算法:推荐使用P-256或P-384曲线(等效于RSA 3072/15360位安全强度)。
- SM2算法:固定256位密钥长度,符合国密标准。
-
加密协议与套件
- 禁用SSLv2/SSLv3/TLS 1.0/TLS 1.1(存在POODLE、BEAST等漏洞)。
- 强制启用TLS 1.2及以上版本,优先选择支持前向保密(PFS)的加密套件(如ECDHE-RSA-AES256-GCM-SHA384)。
- 国密协议:需支持SM2 SSL协议(如GMSSL 1.1+或OpenSSL 1.1.1+国密补丁)。
四、证书颁发机构(CA):国内可信CA为首选
-
国际CA的局限性
- 部分国际CA未通过国家密码管理局认证,其证书无法满足密评要求。
- 国际证书的验签服务器通常部署在境外,可能涉及数据出境风险(违反等保数据安全要求)。
-
国内CA推荐
- JoySSL:支持SM2/SM3/SM4国密算法,提供OV/EV证书,验签服务器部署在国内,符合等保数据不出境要求。
- CFCA:中国金融认证中心,提供金融级国密SSL证书,支持双算法(SM2+RSA)兼容模式。
五、配置与部署:关键技术细节
-
证书链完整性
- 确保证书文件包含服务器证书、中间证书和根证书,避免浏览器显示“证书链不完整”警告。
- 使用
openssl s_client -connect example.com:443 -showcerts命令验证证书链。
-
国密浏览器兼容性
- 若使用纯国密证书,需确保用户终端安装国密浏览器(如360安全浏览器、红莲花浏览器)。
- 双算法证书方案:部署SM2/RSA双证书,服务器端自动识别浏览器类型,国密浏览器使用SM2加密,国际浏览器使用RSA加密。
-
定期更新与续期
- 国密证书有效期通常为1年,需提前30天申请续期,避免证书过期导致服务中断。
- 自动化续期工具推荐:Certbot、JoySSL API接口。
六、典型案例与成本参考
-
政务系统案例
- 某省级政务平台采用JoySSL国密OV证书,通过等保三级测评。
-
金融系统案例
- 某银行核心系统部署CFCA国密EV证书,满足等保四级要求,年成本约2万元(含硬件加密机+证书费用)。
