最近更新时间:2026-06-12 11:22:48 来源:51DNS.COM
多地省市、部委政务网站曝出误用假国产SSL证书乱象,商家混淆国密与国际算法证书资质,本文详解假证书套路、真国产证书判定标准与采购避坑方案,帮助政企正确选购合规国产SSL证书。
随着等保合规、国产化替代落地,国产SSL证书成为政务、事业单位网站建设刚需,但近期多地政府官网被曝光部署贴牌、套牌的假国产SSL证书,明明招标采购国产证书,落地却变成挂靠境外根证书的贴牌产品,埋下政务数据泄露、访问异常隐患。
乱象根源在于行业刻意混淆两类证书资质:市场商家把国密SM算法SSL证书和RSA/ECC国际算法国产SSL证书混为一谈,拿着国密专用的《电子认证服务使用密码许可证》等资质,冒充国际算法证书的国产合规证明,利用政企采购人员专业盲区收割订单。部分厂商还玩弄中间证书文字游戏,套用国外CA根证书,仅替换中间证书名称为中文,谎称全链路国产,甚至简单给OCSP服务器加装CDN,就宣称数据不出境。凡是只晒国密资质、回避根证书来源、WebTrust认证、CA/B成员资质的产品,基本都属于伪国产套牌证书。
真正兼容主流浏览器的国产RSA/ECC证书,必须同时满足三大硬性门槛,缺一不可:
1、自主国产根入库:自有国内根证书,并且根证书被微软、苹果、谷歌、火狐四大厂商预置进全球根证书库;
2、国际权威认证:发证机构通过WebTrust安全审计,是CA/BrowserForum官方会员;
3、服务境内可控:CRL吊销列表、OCSP验证服务器部署国内,完成ICP备案,全证书链无境外根证书挂靠。
目前国内仅CFCA可实现全链路纯国产根签发,但老旧浏览器兼容率仅65%;GDCA、SHECA等厂商自有根兼容性不足40%,大多依靠国外根交叉认证,并非完整自主国产证书;追求99%全平台兼容,优先选择DigiCert、GlobalSign等国际原厂证书更稳妥。
招投标采购国产SSL证书,严禁把国密资质作为国际算法国产证书准入条件,需将技术指标写入标书正文:
1、要求厂商提供四大根库入库官方截图、WebTrust证书、CA/B会员证明;
2、明确根证书归属国内机构,禁止证书链内嵌国外CA根;
3、标注OCSP、CRL服务器国内部署备案信息,规避境外数据校验风险。
4、若项目强制国产化、可舍弃老旧终端兼容,优先CFCA纯国产证书;兼顾兼容性与国产化指标,可选交叉认证类证书;无硬性国产化政策,优先国际大牌降低运维故障概率。
国产SSL行业仍处在发展初期,兼容性与国际产品存在差距,辨别证书牢记口诀:国产看根证书、信任看四大库、合规看WebTrust,国密资质不能替代国际算法资质。政企建站采购摒弃唯资质论,锚定根证书源头,才能从源头杜绝假国产SSL证书隐患。