自从有了手机在线支付,相信现在的年轻人很少有人再带一沓钞票出门了,买份早点都不用现金,手机一扫交易就成功了,不仅在线支付,目前互联网金融、网络购物、电子合同等网络应用都在高速发展,信息安全则是保障其能够稳定发展的基石。
大多数网络应有都离不开一个重要的安全认证措施,即数字证书。数字证书就像是互联网上的电子身份证,用来标识信息单元的个体身份信息。而当网站服务器安装数字证书后,便可向网站访问者证明服务器的真实身份,因为数字证书是由一个受信任的第三方权威机构——CA(证书管理机构)产生、分配并管理的,就像公民个人身份证一样具有唯一性,无法篡改和仿冒。
而安装在服务器上的数字证书在提供网站身份认证的同时,还可对网络传输的信息数据进行加密,确保其在传输过程中的机密性和完整性。这种安装在服务器上、解决了网络信息安全两大主要隐患的数字证书就是服务器证书(SSL证书)。在西方国家,半数以上的网络流量经过服务器证书的加密。
服务器证书国产化迫在眉睫
目前,国外品牌的服务器证书在我国拥有更高的市场占有率,但国外证书的根证书系统在国外,在“棱镜门”事件后,我们也意识到了信息安全的重要性,在我国将网络安全提升至国家战略层面的大背景下,作为一种必备的安全产品,服务器证书的国产化迫在眉睫。
服务器证书国产化的尴尬
我国的国产证书也面临几点尴尬。首先,国产证书起步较晚尚在起步阶段。其次,多数国产证书的用户体验度不及国外证书,例如无法支持手机端、仅能支持部分浏览器等。最后,一款能得到市场认可的服务器证书产品需要如浏览器、Web服务器、操作系统对根证书的信任等各环节的标准化与相互支持。而这些环节的标准均有国外机构制定,中国厂商如想符合绝非易事。
目前,只有通过WebTrust国际安全审计认证的CA机构,才有资格将自己的服务器证书根证书植入到各大根证书管理机构中,比如微软、谷歌、Mozilla等,这样才算成为一张获得全球信任、支持所有设备和浏览器的服务器证书。完成以上工作对国内CA来说是一项艰巨、漫长的工作,如果CA无法完成以上工作,企业和机构就不会选择它颁发的服务器证书。在我国,通过WebTrust认证的CA只有上海CA、沃通CA、广东CA 和CFCA(中国金融认证中心)四家。
但在之后入根各大根证书管理机构的过程中,有的CA因为种种障碍陷入停滞。有的CA则通过收购国外根证书系统,再将系统迁移至国内的方式完成入根,但却无形中在海外留下“后门”,导致稳定性不高、存在安全风险。据了解,目前只有CFCA完成了主要的入根工作,并在我国境内自建了全球服务器证书根证书系统,实现了服务器证书的100%国产化。
服务器证书国产化我们可以怎么做?
扩大我国在服务器证书规则制定中的国际话语权
我国CA行业之前几乎没有参与过这些标准的制定,无法在规则中体现自己的意志和诉求。因此,建议由政府或行业组织来推动、协调产业界或学术界关注这一问题,积极参与标准制定。目前,已有部分国内CA加入了制定服务器证书入根和业务执行标准的CA/浏览器论坛(简称CAB),应该说这是一个良好的开端
建立全国统一的协作机制,积极推进国产化
一直以来,我国均按照各地区各行业自行建立CA认证机构。这使得区域性、行业性CA发展很快,国产化程度较高。但这种具有封闭性的产业模式,也仅能满足特定行业、区域的需求,一旦面对高度开放、大众化的服务器证书应用领域,就无法实现行业和区域需求的全覆盖。所以,建议应尽快完成我国电子认证体系的顶层设计和统一规划布局,用统一的协作机制推动国产化。
政策引导,苦练内功
目前,我国已经拥有100%国产化且在功能上媲美国外品牌的国产服务器证书。但因其推出时间较晚,所以在市场认知度较低。在这种情况下,国家可考虑在重点领域大力推广国产证书的应用,以引导企业优先安装国产服务器证书。当然,国内CA若想在服务器证书领域做大做强,必须不断提高自身实力。在完全自主研发、自建根证书系统的基础上,完善证书对各个浏览器、操作系统的支持,提高用户体验。同时加强售前、售后能力及市场推广力度。用过硬的产品和完善的服务,提高国产证书的市场占有率。
本文转自d1net(转载)
