今天,我非常高兴地收到官方文件,通知我零信科技牵头的两大商用密码标准——《证书透明规范》和《自动化证书管理规范》已被纳入全国密码行业标准化技术委员会发布的《2024年密码行业标准制定和修订任务(商用密码领域)》中,这标志着中国商用SSL证书商用密码产品,将为商用SSL证书的可靠供应和普及提供标准支撑,加速商用SSL证书的推广应用,加速商用密码学的采用,保障中国网络空间的安全。
笔者作为领导单位负责人,特撰文章,向密标委所有项目评审老师和相关领导为我国密码标准事业付出的辛勤工作表示最诚挚的感谢,特别是对基础组的老师们表示最诚挚的感谢,“你们辛苦了, 感谢您的支持!”。尤其感谢标准组组长刘平先生和组副组长王宗斌先生的大力支持,没有你们的战略眼光和智慧,这两个标准不可能在项目中取得成功,国内也没有相应的标准来保证商用SSL证书的安全性和可信度, 并且没有标准实现商业秘密SSL证书的自动部署和快速应用。同时,笔者也借此机会感谢17个标准制定参与者的大力支持,只有生态各方都支持这两个标准,标准才能真正落地,成为有用的标准。 零信科技将不负众望,让这两个标准尽快正式发布,让这两个标准早日为保障中国网络空间安全发挥作用,期待为“一带一路”沿线国家的网络空间安全提供中国创新解决方案。
本文从以下六个方面进行讨论:
1)SSL证书是网络空间安全的“瓶颈”产品。
2)中国的网络空间安全需要、应该而且必须由商业SSL证书来保障。
3)制定商用SSL证书密码的行业标准是最关键的一步。
4)商用密码SSL证书行业标准的制定需要所有利益相关者的参与。
5)标准的制定和符合标准的应用生态的建设必须同步进行。
6)以商业秘密标准推动商用密码学的应用,提高商用密码学标准与商业秘密应用互联网的商业应用,得益于网景公司发明了SSL证书,因为互联网的最初设计是内部使用的,所有的通信协议都是明文传输协议,其中最早的邮件都是明文传输, 后来的Web应用是明文传输,DNS信息也是明文传输,这些不安全的明文传输需要使用SSL证书来实现电子邮件TLS传输加密,Web服务https加密和DNS over https加密,在SSL证书实现信息传输加密之后,互联网也有了商业应用,它有今天的鲜花。
SSL证书已经成为所有互联网应用的核心加密产品,是最成功、应用最广泛的密码产品,任何网络应用都离不开这种密码产品,包括微信、支付宝、美团、网银服务和政务服务。 为什么你不能没有SSL证书?由于各种互联网应用的安全性,所有的数据交换和传输都必须加密,从云端到用户侧的数据流都需要在通道中加密。
SSL证书不再是简单的单一密码产品,而是整个生态系统的支持和应用,做产品容易,做生态难。 放弃一个产品很容易,但放弃一个生态系统却很难!截至 2023 年 12 月 12 日,证书透明度日志系统中记录的 SSL 证书总数如下:114亿多个,这是自 2013 年以来 Google 证书透明度日志系统中记录的真实数据,其中未过期的有效 SSL 证书总数为6.57亿张总,从这些数据中可以看出,SSL证书是目前世界上使用最广泛、最成功的密码产品,是美国竭尽全力保持领先地位的密码产品,因此该产品成为了网络空间安全的“脖子”产品,也成为了美国用来制裁俄罗斯的“**”
当然,SSL证书不仅要由浏览器信任的根CA机构颁发,还必须在浏览器信任的证书透明日志系统中透明备案和公示,以便第三方监管机构和审计机构能够实时了解和监督SSL证书的颁发,确保SSL证书的安全性和可信性。这里最重要的标准之一就是制定SSL证书的颁发标准和审核标准,确保CA机构按照统一的标准出具合格的SSL证书,主要包括SSL证书基线标准、CA系统和网络安全标准、CA审计标准、证书透明标准和自动化证书管理标准, 从而有效保证SSL证书可靠的生产供应能力和快速应用部署能力,使SSL证书在世界范围内得到广泛应用。
我国的互联网应用已经发展到相当高的水平,互联网应用的渗透率也非常高,可以毫不夸张地说,人们的生活和工作一时分刻也离不开互联网。SSL证书是用于保护所有互联网应用的关键密码产品,是“卡脖子”产品,这决定了我国的网络空间安全不能完全依赖国外的RSA算法密码产品,不能依赖RSA算法SSL证书,因为已经从过去吸取了教训,我们必须采取预防措施, 我国互联网需要使用商业秘密算法的SSL证书,必须使用商业秘密SSL证书来实现Web应用的https加密。实现DNS加密和邮件TLS传输加密。
当然,就像基于RSA算法的SSL证书的普及应用一样,商业秘密SSL证书应用的普及也需要SSL证书的应用生态圈。通过共同构建证书自动化客户端厂商和证书自动化云服务商的生态系统,实现商用加密SSL证书的可靠供应和应用的快速部署,从而彻底解决SSL证书的“瓶颈”问题。
我国已经拥有先进的商用密码算法SM2、SM3、SM4等,不仅有相关的算法标准,而且已经成为国际标准算法,但这些算法还没有成为SSL证书的国际标准,还需要业界继续。 但是,这并不影响我国利用商用密码算法打造商用密码SSL证书的应用生态。
我国制定了两个与SSL证书相关的标准,一个是商业秘密标准《GM T 0024-2014 SSL VPN技术规范》,另一个是国家标准“GB T 38636-2020 信息安全技术传输层密码协议(TLCP)”。证书透明度标准和自动化证书管理标准的前三项标准已于去年获批,并基于草案的不断完善,正在如火如荼地进行中。零信科技牵头的最后两项标准也于今日获批,这标志着中国国际标准SSL证书相关的五项标准全部获批,全部进入制定阶段,我们期待这些标准的早日发布。
SSL证书急需的五项标准项目,吸引了北京航空航天网络安全学院等高校、多家CA机构、华为云、阿里云等云服务商、360等安全厂商、标准服务机构和金融认证机构的参与,非常有利于标准的快速应用。
零信科技主导的《证书透明度规范》和《证书自动化管理规范》不仅参考了相应的国际标准,还对密码算法进行了修改,而是基于这两个标准草案成功开发了相应的产品,验证了将这些国际标准转化为商业秘密标准的可行性。 其中,《证书透明规范》涉及浏览器厂商、CA机构、证书透明日志系统运营商、证书监督员和审计师,而《自动化证书管理规范》涉及云服务提供商、云密码服务商、Web服务器和操作系统提供商、安全网关厂商等,只有大部分相关龙头厂商参与,才能制定出真正能够真正做到的良好标准符合各方利益,真正落到实处。
虽然零信牵头的两项标准已有17家相关单位参与,但我们欢迎更多相关厂商继续参与标准的制定和完善,共同打造适合中国商用密码应用环境的高质量商用密码标准。
部分产品已成功稳定运行近两年,并基于这两个标准成功打造了应用生态和生态必备产品,包括:支持商业秘密证书透明化的零信证书透明日志系统、支持商业秘密证书透明化的零信浏览器、零信云SSL系统、 可以签发支持商业秘密证书透明的商业秘密SSL证书,支持商业秘密SSL证书和国际SSL证书自动申请和部署的ACME客户端软件,支持证书管理自动规范的SM2cerbot软件,以及为ACME客户端提供证书申请和签发服务的SM2cerbot ACME服务系统, 并连接到SM2CerBOT ACME服务系统,实现了零信SM2 https加密自动化网关和ZT GUOm2 https加密自动化云服务的自动https加密,均验证了两个标准的可行性和先进性,并开始为用户提供商用密码https加密自动化服务。
然而,这种应用生态的发展壮大肯定不是一个企业可以搭建的,需要业界的共同参与,包括所有商业秘密浏览器都应支持商业秘密证书透明化,以保证商业秘密https加密的安全性,更多的厂商或权威机构提供商业秘密证书透明日志服务, 每个CA颁发的商业秘密SSL证书应支持商业秘密证书透明化,每个云服务提供商都可以为用户提供支持证书自动管理的商业秘密HTTPS加密服务。各类需要应用商业秘密SSL证书的硬件网关产品,都要支持商业秘密证书的自动管理,自动实现HTTPS加密,只有相关行业厂商按照这些商业秘密标准参与到这个生态圈的建设中来,才能真正构建出安全可靠的商业秘密SSL证书供应能力, 共同构建商业秘密SSL证书的快速部署和应用能力,建立商业秘密SSL证书的大应用生态。
以证书透明化为例,从2024年谷歌的RFC 6962标准到2024年所有SSL证书的完全透明化,用了5年时间,所以我们必须尽快完成这些商业秘密标准的制定,同时在标准草案的基础上,基于这个标准草案开发产品, 使标准制定与生态建设同步进行。
当然,标准建设不是为了有标准而制定标准,当然,我们发现商业秘密SSL证书体系仍然缺乏这些标准,并制定了这些标准。 证书透明度规范 为保证CA机构颁发的商业秘密SSL证书的安全性,可及时发现CA机构因操作失误而错误颁发商业秘密SSL证书,或因CA系统受到攻击而恶意出具商业秘密SSL证书进行网络攻击, 这并没有增加CA的负担,而是提高了CA机构的商业秘密SSL证书颁发能力和核心竞争力,提高了商业秘密SSL证书在国内的安全水平!所有商业秘密浏览器都支持商业秘密证书的透明性,当然也是为了提高商业秘密https加密的安全等级,保护商业秘密浏览器用户的互联网安全。
《自动化证书管理规范》旨在实现商业秘密SSL证书的自动申请和自动部署,为行业提供证书签发的标准接口,将极大地促进商业秘密SSL证书的普及应用,大大降低各类业务系统商业秘密转化的门槛,使原有的Web服务器实现商业秘密零转换的 HTTPS 加密。《证书透明规范》和《证书自动化管理规范》的制定,将促进商用密码学HTTPS加密的普及和应用,使各类商用SSL证书的加密应用更加准确。
反过来,各种商业秘密SSL证书的广泛应用也会导致这些商业秘密标准的不断完善,这也是为什么该标准被批准和制定时,给出了两年的提交草案审批的时限,你可以在这段时间内根据这些标准草案制作产品和生态来测试标准的成熟度, 并根据实际应用需要不断完善标准草案,使制定的标准成为高质量的商业秘密标准。因此,我们欢迎所有提供遵循《证书透明度规范》和《自动化证书管理规范》两份标准草案的产品的厂家积极参与这两项标准的制定,同时大胆提出自身产品在应用改进标准方面的需求,这样不仅可以提升自身产品的核心竞争力, 同时也带动了标准的完善和提升,这是一个双赢的结果。事实上,在标准项目建立过程中,我们已经收到了华为提交的补充内容,在《自动化证书管理规范》草案中增加了扩展身份类型和扩展质询类型,以满足电信设备中自动部署SSL证书的应用需求。
总之,商业秘密标准的建设和商业秘密应用的推广必须同步进行,相辅相成,这也是零信科技在两大商业秘密标准的官网上设立专门专栏介绍这两个标准的原因,以便于行业在标准草案的基础上开发相关产品,并提出完善标准草案的建议在产品开发过程中。同时,我们还为标准的参与单位提供免费的邮件列表服务,让大家可以充分利用邮件群,像国际标准一样讨论标准草案,完善标准草案,从而高效、高标准地完成两个商业秘密标准的制定。
HTTPS加密是网络空间安全的核心密码应用,SSL证书的可靠供应和快速部署是构建SSL证书应用生态的关键。 有了《密码法》和《密码管理条例》的标准保护,再加上密码行业和网络安全行业的共同努力,我们坚信,商用SSL证书的应用生态一定能够快速构建,SSL证书的“瓶颈”问题将得到彻底解决, 推广商用SSL证书应用,保障中国网络空间安全,保障中国稳定。
有诗作证明:项目双重标准获批,岁月苦干终于开花结果。
标准建设促进应用,推广应用结出硕果。