中国电子银行网讯 北京时间2016年10月25日凌晨,苹果公司对外发布了iOS10.1正式版,与旧版相比,新版IOS有了很多新变化。尤其值得关注的是,自该版本起,苹果系统根证书库接纳了CFCA(中国金融认证中心)全球信任体系SSL证书的根证书。这意味着IOS和Mac OS已开始信任由这家中国CA颁发的SSL证书、意味着我国也拥有了支持全浏览器平台的SSL证书产品、意味着信息安全产品国产化的又一重大突破。
CFCA EV SSL证书在苹果IOS系统Safari浏览器中的展示效果
SSL证书(亦称服务器证书)是网络信息安全重要的基础性产品,通过部署SSL证书,网站可以实现HTTPS流量加密和安全身份认证。目前,欧美地区过半的网络流量都经过HTTPS加密,英美等国家更是强制要求本国的政务类网站安装SSL证书。我国网站的SSL证书普及率虽然较低,但随着各大企业、机构对网络安全的愈发重视,国内SSL证书的需求量近年来出现大幅增长。一直以来,企业通常会选择国外CA颁发的SSL证书,主要原因是国外证书的功能更完善。而SSL证书功能完善的核心就是根证书植入全球四大根证书库,即支持以微软IE、Mozilla火狐、谷歌安卓、苹果IOS为代表的所有主流PC端及移动端浏览器平台。而这,恰恰是国产SSL证书的最大短板。
如果让国产SSL证书比肩国外证书,国内CA机构需要完成以下工作:
(1)根据国际标准,建立根证书体系,一个系统一般要同时满足2~3个国际标准;
(2)由专门的国际审计公司(比如普华永道,毕马威)审计根证书系统是否达标,如通过审计,CA就可以取得国际Webtrust认证;
(3)入根。CA必须将根证书植入到四大浏览器厂商的根证书管理机构中,即微软、Mozilla、安卓、苹果,这样才能在这些系统的浏览器中显示信任。
由于SSL证书体系门槛较高,所以在国内近40家CA中,目前仅有5家CA拥有经过Webtrust审计的SSL证书产品,而入根工作则是国产证书面临的最大难题。入根是一项长期、复杂的系统性工作,浏览器厂商对于CA的入根申请都抱着极为谨慎的态度,要经过长期考察才会做出决定。而国内CA因在SSL领域起步较晚,入根申请均在近年提出,也缺乏与国际浏览器厂商沟通的管道和经验,所以往往只完成了部分浏览器的入根,甚至入根工作已陷入停滞。在CFCA入根IOS前,尚未有一家中国CA将在国内自建的根证书系统植入所有主流浏览器的证书库。
一方面,国家大力扶持信息安全产品国产化,大量企事业单位也有使用国产SSL证书的强烈需求,特别是一些政务网站和涉密机构。另一方面,国产证书仅获部分浏览器信任,存在功能缺陷。例如,一家电商网站申请了一张国产SSL证书,而该证书未获得IOS系统的信任。一旦用户通过IOS的safari浏览器登陆该网站购物,safari浏览器即提示用户该网站的SSL证书不可信,这种严重影响用户体验的缺陷使多数国内企业不得不放弃国产证书。
作为已为国内98%的银行提供电子认证服务的CA机构,CFCA自2011年起在国内建设SSL根证书系统,并于2012年开始进行入根工作,期间入根工作也曾遭遇瓶颈。但不论是用户对使用国产SSL证书的迫切需求,还是做出优秀SSL产品的信念,亦或信息安全国产化战略不断深入的大环境,都在不断推动着CFCA入根工作的前行。在先后入根微软、Mozilla、安卓后,CFCA SSL根证书植入IOS10.1版本,完成了国际四大证书库的入根,使我国的SSL证书产品首次获得所有浏览器平台的信任。自此,国内企事业机构的网站、服务器均可以选用CFCA的国产SSL证书,国外证书已不是唯一的选项。
近年来,国产SSL证书的发展速度未能跟上国内激增的需求。除了入根进展缓慢外,部分国内CA还因疏漏等原因违反了相关国际标准,并导致浏览器厂商的处罚,使SSL证书的国产化蒙上一层阴影。而此次CFCA成功入根IOS则一扫之前的阴霾,证明国产SSL证书在功能上已可比肩国外优秀产品,可以肩负起维护国内网络安全的重任。同时也说明,国内安全厂商在植根本土、尊重国际标准的基础上,严守风险控制、积极听取用户心声、不断提高技术水准,完全可以开发出不逊于国外品牌的信息安全产品,进而推动我国信息安全国产化战略的早日实现。