北京时间2016年10月25日凌晨,苹果公司对外发布了IOS10.1正式版,与旧版相比,新版IOS有了很多新变化。尤其值得关注的是,自该版本起,苹果系统根证书库接纳了中国金融认证中心(CFCA)全球信任体系SSL证书的根证书。这意味着IOS和Mac OS已开始信任由这家中国CA颁发的SSL证书,意味着中国也拥有了支持全浏览器平台的SSL证书产品,意味着信息安全产品国产化的又一重大突破。
CFCA EV SSL证书在苹果IOS系统safari浏览器中的展示效果
SSL证书(亦称服务器证书)是网络信息安全重要的基础性产品,通过部署SSL证书,网站可以实现HTTPS流量加密和安全身份认证。目前,欧美地区过半的网络流量都经过HTTPS加密,英美等国家更是强制要求本国的政务类网站安装SSL证书。我国网站的SSL证书普及率虽然较低,但随着各大企业、机构对网络安全的愈发重视,国内SSL证书的需求量近年来出现大幅增长。
一直以来,企业通常会选择国外CA颁发的SSL证书,主要原因是国外证书的功能更完善。而SSL证书功能完善的核心就是根证书植入全球四大根证书库,即支持以微软IE、Mozilla火狐、谷歌安卓、苹果IOS为代表的所有主流PC端及移动端浏览器平台。而这,恰恰是国产SSL证书的最大短板。
如果让国产SSL证书比肩国外证书,国内CA机构需要完成以下工作:
(1)根据国际标准,建立根证书体系,一个系统一般要同时满足2~3个国际标准;
(2)由专门的国际审计公司(比如普华永道,毕马威)审计根证书系统是否达标,如通过审计,CA就可以取得国际Webtrust认证;
(3)入根。CA必须将根证书植入到四大浏览器厂商的根证书管理机构中,即微软、Mozilla、安卓、苹果,这样才能在这些系统的浏览器中显示信任。
由于SSL证书体系门槛较高,所以在国内近40家CA中,目前仅有5家CA拥有经过Webtrust审计的SSL证书产品,而入根工作则是国产证书面临的最大难题。入根是一项长期、复杂的系统性工作,浏览器厂商对于CA的入根申请都抱着极为谨慎的态度,要经过长期考察才会做出决定。
在CFCA入根IOS前,尚未有一家中国CA将在国内自建的根证书系统植入所有主流浏览器的证书库。
此次CFCA成功入根IOS则一扫之前的阴霾,证明国产SSL证书在功能上已可比肩国外优秀产品,可以肩负起维护国内网络安全的重任。同时也说明,国内安全厂商在植根本土、尊重国际标准的基础上,严守风险控制、积极听取用户心声、不断提高技术水准,完全可以开发出不逊于国外品牌的信息安全产品,进而推动我国信息安全国产化战略的早日实现。
如果您希望了解更多国产SSL证书相关的信息,