一场悄无声息的“证书革命”
如果你关注网络安全领域,一定注意到一个趋势:
国密SSL证书正在全面替代传统RSA证书。
这并非炒作,而是政策驱动的必然结果。2025年,商用密码应用安全性评估(简称“密评”)在全国范围内全面落地执行,等保三级及以上系统被强制要求使用国密算法。金融行业核心系统国密覆盖率已超过60%,省级政务平台基本完成国密HTTPS改造,电力、交通、通信等关键信息基础设施也在加速推进。
换句话说,如果你的业务涉及政务、金融、国企或关键基础设施,国密SSL证书已经不是“要不要用”的问题,而是“什么时候用”的问题。
国密SSL证书——网络安全自主可控的核心基础设施
什么是国密SSL证书?和普通SSL证书有什么区别?
国密SSL证书,简单来说就是采用中国自主设计的密码算法体系签发的SSL证书,核心包含三大算法:
| 算法 | 作用 | 对标国际算法 |
|---|---|---|
| SM2 | 非对称加密,密钥交换和数字签名 | RSA / ECC |
| SM3 | 哈希算法,数据完整性校验 | SHA-256 |
| SM4 | 对称加密,实际数据传输加密 | AES |
三者协同工作:SM2在握手阶段完成身份验证与密钥协商,SM4加密传输数据,SM3全程校验数据完整性。
SM2、SM3、SM4三大国密算法协同工作,构建安全传输通道
与RSA证书相比,国密SSL证书有几个显著优势:
• 性能更强:SM2的256位密钥安全强度等效于RSA的3072位,但签名速度比RSA快1倍以上,SSL握手效率提升约40%
• 合规性更好:满足《密码法》、等保2.0、密评等国内法规要求
• 自主可控:根证书在国内,验签服务器部署在境内,数据不出境
• 抗量子能力更强:SM2基于椭圆曲线密码学,对量子计算攻击的抵御能力优于传统RSA
不过需要坦诚说明的是,国密SSL证书目前有一个现实限制:Chrome、Firefox、Safari等国际主流浏览器的原生版本尚未全面支持国密算法。因此,生产环境通常采用双证书并行架构——国密客户端自动握手SM2证书,国际浏览器自动降级使用RSA证书,两者互不干扰。
哪些行业必须关注国密SSL证书?
金融行业
央行及金融监管总局已明确要求金融机构逐步实现国产化替代。银行网银、证券交易平台、支付系统普遍已完成国密SSL部署。2025年密评全面落地后,金融核心系统国密覆盖率已超60%。
政务系统
政府网站及公共服务平台需通过国密改造验收,密评不合格单位将面临业务限行。湖南、陕西、江西等省份已完成省级政务系统国密HTTPS改造,政务领域国密覆盖率已超50%。
关键信息基础设施
电力、交通、通信等领域被法规强制要求使用国密算法,2026年国密SSL证书在这些领域的渗透率预计超过60%。
国企和央企
国资委要求国企优先采购国产密码产品,国密改造已成为央企信息化建设的标配任务。
部署国密SSL证书,难吗?
坦率地说,部署国密SSL证书比部署普通RSA证书确实多了一些步骤,但并非不可逾越。
核心难点在于:服务器中间件需要编译国密密码库。官方Nginx和OpenSSL不支持国密算法,需要替换为GmSSL或铜锁(Tongsuo)等支持国密的密码库重新编译。Apache、Tomcat同理。
配置层面,最大的区别是国密SSL采用双证书模式——签名证书和加密证书分开配置。以Nginx为例,除了常规的ssl_certificate指令外,还需要使用ssl_certificate_enc和ssl_certificate_key_enc指令来指定加密证书。
双证书并行架构:国密SM2与国际RSA证书同时部署,兼容所有浏览器
浏览器兼容性方面,目前360安全浏览器、奇安信可信浏览器、红莲花安全浏览器、密信浏览器以及统信UOS、银河麒麟等国产操作系统已原生支持国密算法。Windows从2023版开始内置国密根证书。对于Chrome等国际浏览器,通过双证书模式即可实现无缝兼容。
几个避坑要点值得注意:
1. 切勿使用仅支持ECB模式的国密证书配置,密评必被打回
2. 务必确认服务器中间件已正确声明OID,否则握手会静默失败
3. 金融级场景建议使用HSM硬件加速,软件实现SM2签名性能下降70%以上
4. 内网API和数据库通信也应纳入国密迁移范围,不要只改对外服务
选型建议:如何挑选适合自己的国密SSL证书?
目前国内已有多家CA机构提供国密SSL证书服务,涵盖国有控股机构、金融认证中心以及新兴自主品牌,各有侧重。
选型时建议关注以下几个维度:
• 合规性:CA机构是否通过WebTrust认证,根证书是否被主流浏览器和操作系统信任
• 场景匹配:政务/金融场景建议选择有行业背书的CA,中小企业可考虑性价比更高的方案
• 技术支持:是否提供完整的部署文档、中文技术支持和自动化管理工具
• 价格:国密证书价格通常比国际品牌低30%-50%,不同厂商定价差异较大
对于正在做国密改造的单位来说,JoySSL是一个值得关注的选项。作为国内专业的SSL证书服务商,JoySSL提供覆盖单域名、多域名、通配符等类型的国密SSL证书,支持SM2双证书体系,验签、时间戳及OCSP等基础设施全部部署在中国境内,数据不出境。同时JoySSL还提供免费的国际算法SSL证书(政务版、教育版),可以帮助有需要的单位在完成国密改造的同时,以零成本解决国际浏览器的兼容问题。
写在最后
国密SSL证书的普及,本质上是中国网络安全自主可控战略的一部分。从政策层面看,密评的全面落地意味着国密改造已经没有“观望期”。从技术层面看,SM2/SM3/SM4算法在性能和安全性上已经具备了替代RSA/ECC/AES的实力。从市场层面看,国密证书的价格持续下降,部署工具链也在逐步完善。
如果你的业务尚未启动国密改造,现在是一个不错的时机。先评估合规要求,再选择合适的CA机构和证书产品,然后制定分阶段部署计划——从对外服务开始,逐步覆盖内网系统。
安全这件事,从来都是宜早不宜迟。