在网络安全等级保护(等保2.0)的合规要求中,SSL证书是保障数据传输加密与身份可信的关键环节。选错证书类型,可能导致测评不通过或额外整改成本。
等保对SSL证书的核心要求
等保2.0在“通信保密性”和“身份鉴别”条款中明确提出:
- 传输过程中的敏感信息应使用加密通道(如TLS/SSL)
- 通信双方身份应进行鉴别,防止中间人攻击
因此,仅部署单向加密(如自签名证书)不符合等保要求,必须使用由可信CA机构签发的商用SSL证书。
推荐证书类型:OV或EV证书
| 证书类型 | 验证强度 | 适用等保级别 |
|---|---|---|
| DV(域名验证) | 仅验证域名所有权 | 不推荐 |
| OV(组织验证) | 验证企业真实身份 | 等保二级、三级 |
| EV(扩展验证) | 严格法律及运营审核 | 等保三级及以上 |
SSL证书申请入口
结论:过等保至少选用OV证书。
为什么DV证书不行?
DV证书仅确认域名归属,浏览器地址栏不显示单位名称,无法满足等保中“通信双方身份鉴别”的合规要求。等保三级及以上系统明确要求具备可验证的组织身份信息。
算法与密钥长度要求
- 算法:必须使用RSA(2048位以上)或国密SM2算法(若系统涉及密码应用测评,优先推荐国密证书)
- 协议:禁用SSLv3、TLSv1.0,至少启用TLSv1.2
- 哈希算法:避免SHA-1,使用SHA-256及以上
证书部署注意事项
- 有效期管理:等保要求证书在有效期内(公共CA证书最长1年),需建立到期监控和续期流程
- 私钥保护:私钥必须存储在符合安全标准的硬件或密钥管理系统中,不可明文随程序分发
- 完整链配置:必须包含中级CA证书和根证书,否则移动端或特定环境下会出现信任失败
国密SSL证书特殊说明
对于等保三级及以上、或涉及政务、金融、能源等行业,密码应用测评部分强制或优先推荐使用国密算法。此时应选择支持SM2/SM3/SM4的国密SSL证书,并搭配支持国密协议的网关或负载均衡器。
总结
- 等保二级:OV RSA证书(2048位)
- 等保三级及以上:OV/EV 国密SM2证书 或 EV RSA证书
- 严禁使用:DV证书、自签名证书、过期证书、弱算法证书(RSA 1024位以下)
提前确认证书类型与部署方式,能有效降低等保测评整改风险。
