今天,我非常高興地收到官方檔案,通知我零信科技牽頭的兩大商用密碼標準——《證書透明規範》和《自動化證書管理規範》已被納入全國密碼行業標準化技術委員會發布的《2024年密碼行業標準制定和修訂任務(商用密碼領域)》中,這標誌著中國商用SSL證書商用密碼產品,將為商用SSL證書的可靠供應和普及提供標準支撐,加速商用SSL證書的推廣應用,加速商用密碼學的採用,保障中國網路空間的安全。
筆者作為領導單位負責人,特撰文章,向密標委所有專案評審老師和相關領導為我國密碼標準事業付出的辛勤工作表示最誠摯的感謝,特別是對基礎組的老師們表示最誠摯的感謝,“你們辛苦了, 感謝您的支援!”。尤其感謝標準組組長劉平先生和組副組長王宗斌先生的大力支援,沒有你們的戰略眼光和智慧,這兩個標準不可能在專案中取得成功,國內也沒有相應的標準來保證商用SSL證書的安全性和可信度, 並且沒有標準實現商業秘密SSL證書的自動部署和快速應用。同時,筆者也藉此機會感謝17個標準制定參與者的大力支援,只有生態各方都支援這兩個標準,標準才能真正落地,成為有用的標準。 零信科技將不負眾望,讓這兩個標準盡快正式發布,讓這兩個標準早日為保障中國網路空間安全發揮作用,期待為“一帶一路”沿線國家的網路空間安全提供中國創新解決方案。
本文從以下六個方面進行討論:
1)SSL證書是網路空間安全的“瓶頸”產品。
2)中國的網路空間安全需要、應該而且必須由商業SSL證書來保障。
3)制定商用SSL證書密碼的行業標準是最關鍵的一步。
4)商用密碼SSL證書行業標準的制定需要所有利益相關者的參與。
5)標準的制定和符合標準的應用生態的建設必須同步進行。
6)以商業秘密標準推動商用密碼學的應用,提高商用密碼學標準與商業秘密應用網際網絡的商業應用,得益於網景公司發明了SSL證書,因為網際網絡的最初設計是內部使用的,所有的通訊協議都是明文傳輸協議,其中最早的郵件都是明文傳輸, 後來的Web應用是明文傳輸,DNS資訊也是明文傳輸,這些不安全的明文傳輸需要使用SSL證書來實現電子郵件TLS傳輸加密,Web服務https加密和DNS over https加密,在SSL證書實現資訊傳輸加密之後,網際網絡也有了商業應用,它有今天的鮮花。
SSL證書已經成為所有網際網絡應用的核心加密產品,是最成功、應用最廣泛的密碼產品,任何網路應用都離不開這種密碼產品,包括微信、支付寶、美團、網銀服務和政務服務。 為什麼你不能沒有SSL證書?由於各種網際網絡應用的安全性,所有的資料交換和傳輸都必須加密,從雲端到使用者側的資料流都需要在通道中加密。
SSL證書不再是簡單的單一密碼產品,而是整個生態系統的支援和應用,做產品容易,做生態難。 放棄乙個產品很容易,但放棄乙個生態系統卻很難!截至 2023 年 12 月 12 日,證書透明度日誌系統中記錄的 SSL 證書總數如下:114億多個,這是自 2013 年以來 Google 證書透明度日誌系統中記錄的真實資料,其中未過期的有效 SSL 證書總數為6.57億張總,從這些資料中可以看出,SSL證書是目前世界上使用最廣泛、最成功的密碼產品,是美國竭盡全力保持領先地位的密碼產品,因此該產品成為了網路空間安全的“脖子”產品,也成為了美國用來制裁俄羅斯的“**”
當然,SSL證書不僅要由瀏覽器信任的根CA機構頒發,還必須在瀏覽器信任的證書透明日誌系統中透明備案和公示,以便第三方監管機構和審計機構能夠實時了解和監督SSL證書的頒發,確保SSL證書的安全性和可信性。這裡最重要的標準之一就是制定SSL證書的頒發標準和審核標準,確保CA機構按照統一的標準出具合格的SSL證書,主要包括SSL證書基線標準、CA系統和網路安全標準、CA審計標準、證書透明標準和自動化證書管理標準, 從而有效保證SSL證書可靠的生產供應能力和快速應用部署能力,使SSL證書在世界範圍內得到廣泛應用。
我國的網際網絡應用已經發展到相當高的水平,網際網絡應用的滲透率也非常高,可以毫不誇張地說,人們的生活和工作一時分刻也離不開網際網絡。SSL證書是用於保護所有網際網絡應用的關鍵密碼產品,是“卡脖子”產品,這決定了我國的網路空間安全不能完全依賴國外的RSA演算法密碼產品,不能依賴RSA演算法SSL證書,因為已經從過去吸取了教訓,我們必須採取預防措施, 我國網際網絡需要使用商業秘密演算法的SSL證書,必須使用商業秘密SSL證書來實現Web應用的https加密。實現DNS加密和郵件TLS傳輸加密。
當然,就像基於RSA演算法的SSL證書的普及應用一樣,商業秘密SSL證書應用的普及也需要SSL證書的應用生態圈。通過共同構建證書自動化客戶端廠商和證書自動化雲服務商的生態系統,實現商用加密SSL證書的可靠供應和應用的快速部署,從而徹底解決SSL證書的“瓶頸”問題。
我國已經擁有先進的商用密碼演算法SM2、SM3、SM4等,不僅有相關的演算法標準,而且已經成為國際標準演算法,但這些演算法還沒有成為SSL證書的國際標準,還需要業界繼續。 但是,這並不影響我國利用商用密碼演算法打造商用密碼SSL證書的應用生態。
我國制定了兩個與SSL證書相關的標準,乙個是商業秘密標準《GM T 0024-2014 SSL VPN技術規範》,另乙個是國家標準“GB T 38636-2020 資訊保安技術傳輸層密碼協議(TLCP)”。證書透明度標準和自動化證書管理標準的前三項標準已於去年獲批,並基於草案的不斷完善,正在如火如荼地進行中。零信科技牽頭的最後兩項標準也於今日獲批,這標誌著中國國際標準SSL證書相關的五項標準全部獲批,全部進入制定階段,我們期待這些標準的早日發布。
SSL證書急需的五項標準專案,吸引了北京航空航天網路安全學院等高校、多家CA機構、華為雲、阿里雲等雲服務商、360等安全廠商、標準服務機構和金融認證機構的參與,非常有利於標準的快速應用。
零信科技主導的《證書透明度規範》和《證書自動化管理規範》不僅參考了相應的國際標準,還對密碼演算法進行了修改,而是基於這兩個標準草案成功開發了相應的產品,驗證了將這些國際標準轉化為商業秘密標準的可行性。 其中,《證書透明規範》涉及瀏覽器廠商、CA機構、證書透明日誌系統運營商、證書監督員和審計師,而《自動化證書管理規範》涉及雲服務提供商、雲密碼服務商、Web伺服器和作業系統提供商、安全閘道器廠商等,只有大部分相關龍頭廠商參與,才能制定出真正能夠真正做到的良好標準符合各方利益,真正落到實處。
雖然零信牽頭的兩項標準已有17家相關單位參與,但我們歡迎更多相關廠商繼續參與標準的制定和完善,共同打造適合中國商用密碼應用環境的高質量商用密碼標準。
部分產品已成功穩定執行近兩年,並基於這兩個標準成功打造了應用生態和生態必備產品,包括:支援商業秘密證書透明化的零信證書透明日誌系統、支援商業秘密證書透明化的零信瀏覽器、零信雲SSL系統、 可以簽發支援商業秘密證書透明的商業秘密SSL證書,支援商業秘密SSL證書和國際SSL證書自動申請和部署的ACME客戶端軟體,支援證書管理自動規範的SM2cerbot軟體,以及為ACME客戶端提供證書申請和簽發服務的SM2cerbot ACME服務系統, 並連線到SM2CerBOT ACME服務系統,實現了零信SM2 https加密自動化閘道器和ZT GUOm2 https加密自動化雲服務的自動https加密,均驗證了兩個標準的可行性和先進性,並開始為使用者提供商用密碼https加密自動化服務。
然而,這種應用生態的發展壯大肯定不是乙個企業可以搭建的,需要業界的共同參與,包括所有商業秘密瀏覽器都應支援商業秘密證書透明化,以保證商業秘密https加密的安全性,更多的廠商或權威機構提供商業秘密證書透明日誌服務, 每個CA頒發的商業秘密SSL證書應支援商業秘密證書透明化,每個雲服務提供商都可以為使用者提供支援證書自動管理的商業秘密HTTPS加密服務。各類需要應用商業秘密SSL證書的硬體閘道器產品,都要支援商業秘密證書的自動管理,自動實現HTTPS加密,只有相關行業廠商按照這些商業秘密標準參與到這個生態圈的建設中來,才能真正構建出安全可靠的商業秘密SSL證書供應能力, 共同構建商業秘密SSL證書的快速部署和應用能力,建立商業秘密SSL證書的大應用生態。
以證書透明化為例,從2024年谷歌的RFC 6962標準到2024年所有SSL證書的完全透明化,用了5年時間,所以我們必須盡快完成這些商業秘密標準的制定,同時在標準草案的基礎上,基於這個標準草案開發產品, 使標準制定與生態建設同步進行。
當然,標準建設不是為了有標準而制定標準,當然,我們發現商業秘密SSL證書體系仍然缺乏這些標準,並制定了這些標準。 證書透明度規範 為保證CA機構頒發的商業秘密SSL證書的安全性,可及時發現CA機構因操作失誤而錯誤頒發商業秘密SSL證書,或因CA系統受到攻擊而惡意出具商業秘密SSL證書進行網路攻擊, 這並沒有增加CA的負擔,而是提高了CA機構的商業秘密SSL證書頒發能力和核心競爭力,提高了商業秘密SSL證書在國內的安全水平!所有商業秘密瀏覽器都支援商業秘密證書的透明性,當然也是為了提高商業秘密https加密的安全等級,保護商業秘密瀏覽器使用者的網際網絡安全。
《自動化證書管理規範》旨在實現商業秘密SSL證書的自動申請和自動部署,為行業提供證書簽發的標準介面,將極大地促進商業秘密SSL證書的普及應用,大大降低各類業務系統商業秘密轉化的門檻,使原有的Web伺服器實現商業秘密零轉換的 HTTPS 加密。《證書透明規範》和《證書自動化管理規範》的制定,將促進商用密碼學HTTPS加密的普及和應用,使各類商用SSL證書的加密應用更加準確。
反過來,各種商業秘密SSL證書的廣泛應用也會導致這些商業秘密標準的不斷完善,這也是為什麼該標準被批准和制定時,給出了兩年的提交草案審批的時限,你可以在這段時間內根據這些標準草案製作產品和生態來測試標準的成熟度, 並根據實際應用需要不斷完善標準草案,使制定的標準成為高質量的商業秘密標準。因此,我們歡迎所有提供遵循《證書透明度規範》和《自動化證書管理規範》兩份標準草案的產品的廠家積極參與這兩項標準的制定,同時大膽提出自身產品在應用改進標準方面的需求,這樣不僅可以提公升自身產品的核心競爭力, 同時也帶動了標準的完善和提公升,這是乙個雙贏的結果。事實上,在標準專案建立過程中,我們已經收到了華為提交的補充內容,在《自動化證書管理規範》草案中增加了擴充套件身份型別和擴充套件質詢型別,以滿足電信裝置中自動部署SSL證書的應用需求。
總之,商業秘密標準的建設和商業秘密應用的推廣必須同步進行,相輔相成,這也是零信科技在兩大商業秘密標準的官網上設立專門專欄介紹這兩個標準的原因,以便於行業在標準草案的基礎上開發相關產品,並提出完善標準草案的建議在產品開發過程中。同時,我們還為標準的參與單位提供免費的郵件列表服務,讓大家可以充分利用郵件群,像國際標準一樣討論標準草案,完善標準草案,從而高效、高標準地完成兩個商業秘密標準的制定。
HTTPS加密是網路空間安全的核心密碼應用,SSL證書的可靠供應和快速部署是構建SSL證書應用生態的關鍵。 有了《密碼法》和《密碼管理條例》的標準保護,再加上密碼行業和網路安全行業的共同努力,我們堅信,商用SSL證書的應用生態一定能夠快速構建,SSL證書的“瓶頸”問題將得到徹底解決, 推廣商用SSL證書應用,保障中國網路空間安全,保障中國穩定。
有詩作證明:專案雙重標準獲批,歲月苦幹終於開花結果。
標準建設促進應用,推廣應用結出碩果。