本期嘉宾
崔久强上海CA中心总经理
崔久强,上海市数字证书认证中心有限公司总经理、上海市虹口区人大代表、第一届上海市智慧城市建设领军先锋、一带一路信息产业发展联盟数字签名专委会主任委员、中国密码学会电子认证专委会委员、数据安全协同创新实验室主任、上海产业菁英高层次人才、虹口区拔尖人才,长期致力于电子认证、数字身份、区块链、数据安全和数字信任等领域的研究,曾获上海市科技进步三等奖、上海市科学技术奖一等奖、中国标准创新质量贡献奖,主持或参与编制国家/行业/地方标准10多项,参与省部级科研课题研究30余项,申报国家发明专利20余项。
主持人
赵九州腾讯云-企业中心总监
赵九州,腾讯云-企业中心总监、可观测平台总监。负责腾讯云可观测平台、、腾讯文档、腾讯问卷等产品,历任 58到家平台总经理、360集团同城帮业务副总裁,曾作为小程序SaaS -火速移动的创始人,累计获得创新工场、DCM、合力资本等VC 1000万美元风险投资。同时也是资深的实体企业数字化专家,牵头制订了《中国中小企业数字化标准等级认证》。
赵九州:1998年,上海市数字证书认证中心有限公司(简称上海CA)由中央密码工作领导小组批准试点,上海市政府支持成立,目前是国内领先的第三方电子认证服务机构,我们这边非常多站长都曾从你们这里购买过SSL证书。发展到现在,中国已经成为第三大SSL证书部署大国,但回顾你最初的职业生涯,SSL证书是个相对小众的领域,你为何选择了密码技术、数字证书相关的赛道?又是怎样的契机加入了上海CA?
崔久强:1997年开始,全球兴起了第一次电子商务的浪潮。当时在互联网上有一句很流行的话,叫“在互联网上,没人知道你是一条狗”。这句话的背后其实也道出了一个难题:我们通过网络来重构商务流程时,需要解决很多问题以确保商务活动的安全可靠,比如身份认证、信任评估、交易安全等各方面的保障。而密码技术则是解决网络安全问题的重要工具,基于PKI/CA体系,我们可以通过密码技术来建立网络主体之间的身份可信,比如通过发放CA数字证书来标识网站主体身份,同时利用加密和签名技术保障数据的完整性和可靠性。
可以说,数字证书是密码技术在实际应用中的一种重要形式。在当时,数字证书领域是一个相当新的领域,但是它在保障网络安全方面的潜力和前途巨大。所以我非常看好这个赛道,并且至今也一直热爱并投身于这个行业。
至于我加入上海CA的契机,其实也是受到了当时电子商务浪潮发展的影响。1997年我从上海复旦大学毕业之后,就加入了一家传统的国有企业。但是电子商务浪潮的兴起,让我萌生了从事与信息化发展、计算机技术相关工作的想法。那时候我便觉得,信息化将会是未来的浪潮,网络信息化的发展将会改变我们整个社会、经济以及生活的方式。
机缘巧合下,我踏入了招聘市场,注意到了一家名字很长的公司,叫:上海市电子商务安全证书管理中心有限公司,也就是上海CA最早的名称。“电子商务”和“安全证书”的字眼让我很是欣喜,发现这与我之前的职业规划不谋而合。回去之后,我便通过拨号上网的方式查阅各种相关的中英文资料,通过更深入的了解,让我看到了这个新兴行业的发展机会,也更加坚定了要投身这个行业的决心,于是就促成了我与上海CA的相遇。
赵九州:虽然现在网站上部署SSL证书越来越普及,但很多人还是会选择免费证书,毕竟加密级别也不错,最快几分钟就能签发,甚至一些大型企业也在用免费证书。在免费证书铺天盖地的攻势下,上海CA还能如何推广付费证书?你们推广付费证书最大的阻碍是什么?
崔久强:提到免费证书,最具代表性的当属Let’s ,目前市面上的免费证书基本都是DV证书(域名型证书)。虽然免费证书在一定程度上降低了申请和部署SSL证书的门槛,但它也失去了SSL证书的一项重要功能,即域名所有者组织身份的真实性验证。
从身份鉴别的角度来看,DV证书的申请并不存在对组织的身份鉴别,这可能会导致一些恶意或不法的网站冒充合法网站,从而给用户带来安全风险。还有一些免费SSL证书的提供者可能会利用证书颁发的机会进行商业营销和数据收集,存在隐私被泄漏的风险。
上海CA作为专业合法的第三方电子认证服务机构,严格遵循《电子认证服务管理办法》各项要求,对证书的使用者进行管理和监督。相比于没有安全保障的免费证书,付费证书则享有更高的安全保障,比如更加严格的身份认证流程、更全面的技术支持等。为了帮助用户更好地应对复杂的网络安全问题,我们也可以根据用户的需求提供定制化的服务和解决方案。
在付费证书推广上,我们与合作伙伴、客户和行业组织紧密合作,希望为用户打造更加绿色、健康的网络环境。目前越来越多的人开始意识到付费证书的价值,也有不少免费证书的用户开始转向付费证书。
当然,在推广过程中我们也遇到了一定的阻碍,主要是来自免费证书的竞争和市场价格战的压力。但是我们始终初心不变,一方面不断提高证书质量和服务质量,另一方面我们也注重市场调研和客户需求分析,努力提高证书的安全性、可靠性和易用性,从而保持付费证书的市场竞争力。
Let’s 就曾因为错误签发数百万张证书,所有错误的证书在5天内进行吊销。百万张证书对应着数百万个网站和网络服务,一旦证书被吊销HTTPS将出现连接失败,也就是直接导致网站或服务无法连接。因此,为了更好的实现数据安全和使用保障,我们还是建议用户首选收费证书。
Let's 签发错误,公告要吊销百万张证书
赵九州:讲到DV型证书(域名型证书),是现在大多数网站的首选。在2002年发明了仅验证域名的DV SSL证书,几分钟就可以快速签发,打破了原先申请一张SSL证书需要一周甚至更长时间的常规,加速了https的普及。但DV型的证书实际上不用验证网站的真实身份也能和其他类型证书一样授予标准加密,部署后也可以在浏览器地址栏看到挂锁,导致被很多钓鱼网站利用来诱骗用户。当DV型证书作为“阉割品”无法证明合法网站的身份,逐渐失去公众的信任,你认为这种类型的证书还有存在的必要吗?
崔久强:DV证书(域名型证书)在保障网站安全方面确实存在一定的局限性,因为它只验证了域名的所有权,而没有对网站背后的组织或个人进行身份验证。因此,如果攻击者使用一个有效的域名申请并部署DV证书,他们可能会利用这个证书来建立一个钓鱼网站,让用户误以为它是一个合法的网站。
然而,DV证书仍然对于某些类型的网站是有用的。对于小型企业或个人博客等非商业网站来说,它们可能没有太多预算或者申请资格去购买更昂贵的OV(组织验证)或EV(扩展验证)证书,因为这些证书需要更复杂的验证程序、更高的申请门槛,而且价格相对也会更高。这时候,DV证书则可以提供最基本的HTTPS加密保护,让这些网站的访问者可以安全地浏览网站和提交表单。
不过,随着钓鱼网站等网络攻击的增多,DV证书被利用的可能性也在增加,这对互联网安全造成了潜在威胁。因此,从长远来看,CA机构需要采取更加严格的措施来保障用户在使用DV证书时的安全,以恢复公众对它的信任。同时,我也呼吁各家CA机构,可以通过技术手段来提高证书的安全性和信任度,避免证书被恶意利用。
赵九州:如你所说,从安全性来考虑,OV SSL证书(组织验证证书)和EV SSL证书(扩展验证证书)更能验证企业身份,真正起到防钓鱼网站的作用。但这两种类型的证书市场占比都比较小,除了价格较昂贵之外,现在很多浏览器已经不再在地址栏显示证书中的单位名称,提升网站形象的效果大打折扣。你自己是如何看到目前OV SSL证书和EV SSL证书的推广窘境?你认为推广这些证书的破局之道是什么?
崔久强:OV SSL证书和EV SSL证书在验证企业身份方面确实更加可靠,而且也更能防范钓鱼网站的攻击。但是,由于要覆盖身份验证等相应的业务成本,价格也更高,很多小型网站和个人用户难以承受,所以市场占比相对较小。此外,一些浏览器已经不再在地址栏中显示证书中的单位名称,降低了这些证书对于网站形象的提升效果。
为了解决这些问题,推广OV SSL证书和EV SSL证书仍需要多方面的努力。我们需要提高公众对于网站安全性和防范钓鱼网站攻击的认识,让更多人意识到这些证书的重要性,从而愿意为更高级别的证书支付更高的费用。
不过,OV SSL证书和EV SSL证书的价格普遍较高,这也是推广的主要障碍之一。因此CA机构也可以考虑推出更加灵活的价格策略和证书套餐,以满足不同用户的需求。
另外一点就是增强证书在浏览器中的可见性。例如在页面中显示证书图标、证书名称等,这样可以让用户更容易地发现证书。对于国内的浏览器厂商,也可以考虑重新引入EV证书的显示单位名称等功能,从而提升这些证书的价值和可信度,网站安全需要“看得见”。
赵九州:很多企业在选购SSL证书时会更倾向于通配符证书,因为配置一个主域名后,无限个次级域名也能覆盖,也就是一张证书就能用于整个公司相关的域名。然而通配符证书依然存在着巨大的安全隐患,“鸡蛋都放在同一个篮子里”,一旦这张通配证书私钥被泄露,CA必须吊销这张证书,就会导致主域名下所有网站都无法使用https加密服务。作为CA机构,你会建议怎样的用户去选购通配符证书?怎样的用户尽量不要选购通配符证书?
崔久强:作为CA机构,我们建议只有真正需要通配符证书的用户才应该选择这种类型的证书。
例如,一个企业拥有多个子域名需要使用SSL证书,而这些子域名是动态生成的,那么购买多张单域名SSL证书将会较为繁琐,价格也更高。在这种情况下,通配符证书可以更加方便地覆盖所有子域名,同时也可以减少证书管理的工作量。不过这类用户还是建议需要通过额外的安全措施来保证私钥的安全性和防范潜在的安全威胁。
但是,对于只有少量固定域名的用户,我们不建议选择通配符证书。因为通配符证书存在着私钥被泄露导致所有子域名都无法使用https加密的风险,而这种风险是单域名证书所不具备的。此外,通配符证书也可能会增加其他安全隐患,例如一个被黑客攻击的子域名可能会影响到整个网站的安全。
另外,如果你的企业需要对不同的子域名分别进行管理和控制,那么通配符证书可能会给你带来管理上的麻烦。这种情况下,可以考虑购买多张单域名证书,每张证书对应一个子域名,这样就可以更好地管理和控制你的SSL证书。
因此,在选择证书类型时,用户应该根据自己的实际情况和需求进行权衡和选择。当然,作为专业的第三方CA机构,在证书选购时我们也会提供专业的建议和意见。
崔久强:SSL证书“断供”确实是一个值得重视的问题。目前,大多数国内网站都在使用国外CA机构颁发的SSL证书,这意味着如果这些CA机构出现了不可预知的问题,如政治、经济、自然灾害等原因导致其无法继续服务,那么就会出现“SSL证书断供”的情况。这种情况下,受影响的网站将无法提供安全的https服务,用户的个人信息和隐私可能会受到威胁。
为了应对这种情况,包含上海CA在内的多家国内领先的电子认证机构,积极参与CA/B论坛讨论,参考国际标准进行合规改造,积极入根主流浏览器厂商等。
不过出于长久考虑,根本性解决方法是寻求国产替代性方案。目前,我们积极拓展国产可信服务生态的协同合作,为SSL证书的“断供”做好了准备。
上海CA推出的万维信品牌证书,目前已将国产算法的根证书植入360、奇安信、红莲花、速龙等国产主流浏览器;与此同时,上海CA万维信还研发了一套自适应的软件模块,通过部署双算法证书的模式,自动识别客户端浏览器是否是支持国密算法,自动适配国产算法证书或国际算法证书;上海CA万维信还完成了统信、麒麟、中电子云pks等国产应用系统的适配工作,在加快国产密码算法应用推广的基础上,兼容互联网网络的环境需求,目前已与多家国资云服务商建立战略合作。
赵九州:即使国密证书已经激烈讨论了好几年,但我们知道目前全球主流应用环境不支持国密算法体系,我国也尚未形成支持国密算法的基础软件应用生态,此外,自动化部署之路也未走通,国际ACME协议不支持国密SSL证书,这些都使得SSL证书领域的国密改造举步维艰。根据你们的经验,目前国密的落地情况是否乐观?要提升国密证书的部署密度,你认为未来的路径应该是怎样的?
崔久强:目前国密证书在国内的部署情况还是相对较少的,但是随着国家政策的支持和推动,以及相关密码技术的不断发展,我相信未来国密证书的部署密度有望逐渐提升。
提升国密证书的部署密度,我认为可以通过以下几个方面进行努力:首先,需要加强国密算法在各种基础软件和硬件上的支持,如操作系统、浏览器、服务器等。只有在这些基础设施上得到充分支持后,国密证书才能被广泛部署。
其次,需要推出相应的国密证书的自动化部署方案,使得部署国密证书的过程更加简便、高效。当然,这需要CA机构、设备厂商、软件厂商、应用提供商等多方共同努力,才能建立起相应的生态体系。
目前上海CA推出的双算法证书服务兼顾国密合规和兼容性,进一步提升了国密证书的部署量。当前,国家主管部门也在牵头建立基于国产密码算法的SSL证书相关的管理和推进机制,发布相关的标准和制定相关的规范,加快推进国密证书的应用,上海CA也在积极配合主管部门投入此项工作。
最后,需要加强国内外标准化组织的合作,从而推动国际标准的发展和完善,使得国密证书在全球范围内都能够得到广泛应用。
赵九州:国密SSL证书最重要的落地场景就是政务网站与其云平台,上海CA也承接了非常多政府机构“一网通办”项目,但光从我国31个省区市省级政府官网的部署情况来看,只有江西省政府官网和湖南省政府网站两个网站部署了国密SSL证书,国密覆盖率非常低。你认为政务用户做国密改造的主要卡点是什么?上海CA目前有怎样的应对策略?
崔久强:政务用户做国密改造确实是有一定的难度的。从技术角度来看,由于国密算法的特殊性,需要政务用户对现有的系统和设备进行升级或更换,同时需要进行复杂的配置和部署,这对于一些技术实力相对较弱的政务机构来说可能会造成较大的困难。
另外,改造成本也是个问题。因为国密算法的应用需要采用特殊的硬件设备和软件技术,成本相对较高,对于一些资金紧张的政务机构来说可能会成为一项难以承担的投入。
还有一方面就是经验不足。政务机构在国密算法的应用和实践方面缺乏经验,可能会面临不少挑战和困难,比如在升级和部署方面可能会遇到问题,需要相应的技术支持和服务。
融合二十余年为政府、企事业单位和个人用户提供可靠证书服务的经验,上海CA在国产密码和自有品牌证书的研发道路上稳步前行、上下求索。我们可以提供相关的技术支持和服务,帮助政务机构进行国密算法的升级和部署,以确保其安全可靠的应用。
同时我们也提供高性价比的国密证书及软网关,以吸引更多的政务机构采用国密算法。其中基于国密算法的https加密解决方案:签发SM2 SSL证书、提供服务器端国密套件,且支持双算法证书,使得国密算法在网站加密方面达到了实用的阶段。
此外,我们也一直通过各种渠道宣传国密算法的优势和价值,以提高政务机构对国密算法的认知和认可,从而促进其应用和推广。
随着我国政府对信息安全的重视和国产加密技术的成熟,越来越多的组织倾向于采用国密算法及国密应用满足合规要求、保护系统安全。商密应用和国密改造可帮助企业规避信息泄露、数据被篡改、网络攻击等风险,提高核心业务的安全性和可靠性。基于此,上海CA为广大政企客户提供系列商密应用及国密改造解决方案。
赵九州:今年3月3日,谷歌发布了“共同前进”路线图,宣布在未来的政策更新或CA/B论坛投票提案中将公TLS证书的最长有效期从398天减少到90天。很多评论认为这个规划将对CA机构带来巨大冲击,因为谷歌和火狐浏览器领头的90天免费SSL证书占领了全球超过60%以上的市场份额,当传统CA机构的付费证书有效期也只缩短到90天,那么用户花钱购买收费SSL证书的意愿会大幅减弱。你怎么看待这个新闻?你会担心这个规划会革了CA的命吗?
崔久强:谷歌发布的“共同前进”路线图确实对传统CA机构带来了一定的冲击,因为用户可以选择使用免费的90天有效期的SSL证书,而不必再花费大量资金购买付费证书。但是,这付费证书仍然有其优势。
2023年3月3日,谷歌发布“共同前进”路线图,宣布要将TLS证书最长有效期从398天减少到90天
依然有很多企业和用户需要高级别的SSL证书,这些证书有更严格的验证要求和更高的安全性能。
另外,SSL证书有效期缩短意味着证书需要更加频繁地进行续订,这其实是为CA机构提供了更多的潜在商机和服务机会。不难看出,证书部署自动化已经成为未来大势。为了顺应证书有效期不断缩减的行业趋势,国内各大CA纷纷开始支持ACME协议,为用户提供SSL证书自动化管理服务。我们也正在积极开发测试基于ACME协议的证书自动化工具以更对的应对证书有效期缩短所带来的行业挑战,帮助用户更轻松地管理和更新证书。相关产品和解决方案也将于近期推出,我们相信,这项新技术将为您带来更高效、更便捷、更安全的证书管理体验。
我们也看到,CA机构在销售证书之外,也开始提供其他的增值安全服务,例如漏洞扫描、证书状态监测等,这些服务在安全意识增强和法规要求加强的背景下也将有越来越大的市场需求。
虽然谷歌发布的路线图对传统CA机构带来了一定的挑战,但我相信,各大CA机构有能力去应对新的市场环境,同时,用户仍然有不同的需求和偏好,因此我认为传统CA机构不会被淘汰。
10
赵九州:目前全球范围内使用广泛且被信任的仍然是老牌的几个CA证书品牌,例如、等,他们多年积累的技术经验和成熟的系统提供了更加安全稳定的服务。作为中国最早一批的CA机构,你们有万维信这样的纯国产证书,你认为国产证书和国外老牌证书对比有什么优势吗?国产CA证书品牌在国际化推广方面有什么动作?
崔久强:近年来国家一直在提倡“国产化”,作为中国最早一批的CA机构,上海CA一直在国产证书的研发方面投入了大量的精力。
目前国外老牌证书的市场占有率确实很高,但国产证书的优势也是不言而喻的。我想最突出的优势就是自主可控。从算法层面使用国密算法,运营层面采取国内团队系统布设也都在境内。对用户来说,直观体验就是不用受到国际形势和政策影响,使用起来更稳定。
正如前面所提到的,我们已将国产算法的根证书植入360、奇安信、红莲花、速龙等国产主流浏览器,通过部署双算法证书使得国密应用在网站方面达到了实用阶段。同时我们也完成了统信、麒麟、中电子云pks等国产应用系统的适配工作,在加快国产密码算法应用推广的基础上,兼容互联网网络的环境需求。
还有就是大家关心的数据安全问题,纯国产证书的申请数据是直接面对国内CA的,意味着客户信息和审核数据不用出境,这样也进一步确保了用户数据的安全。在本土化服务方面,国产证书也更加熟悉国内市场,定制化能力也更加灵活。
其实在国际化推广方面,国产CA证书品牌一直在积极行动。我们可以看到,一些国内CA机构在积极加入国际CA/B论坛,参与到国际标准的制定中来。他们与国际知名浏览器厂商和终端设备厂商建立合作关系,以提高其SSL证书在国际市场的可信度和使用率。同时也与一些国际知名企业进行合作,有不少的成功客户案例。还有一些国内CA机构已经在国外建立了分支机构,以进一步拓展其国际业务。
值得可喜的是,现在国产SSL证书在国际市场上受到越来越多的关注和需求。国产CA证书品牌正在通过多种方式积极推动国际化发展,希望能够在国际市场上取得更大的成功。不过,国产证书品牌在国际市场的推广仍然是任重道远的,还需要更多的时间和努力。
11
赵九州:全球排名前十的SSL证书提供商中,绝大部分都是互联网和云服务提供商,包括、亚马逊、谷歌、微软等等,CA机构寥寥无几。如果用户能从云服务提供商那里直接获得网站https加密服务,就不会再去CA申请SSL证书了。你如何看到这样的市场变化?你是否会担心互联网和云服务厂商会把蛋糕都抢走,CA机构的市场空间越来越狭窄?
崔久强:这确实是一个值得关注的市场变化。其实市场竞争一直是一个不断变化的过程,SSL证书市场也不例外。随着互联网和云服务厂商的壮大,他们在SSL证书市场中的份额确实越来越大,而传统的CA机构的市场份额相应减少。这是一个不可避免的市场变化趋势,不过我觉得这并不意味着CA机构将会失去市场空间。
随着云计算、物联网等技术的发展,互联网和云服务提供商在网络安全方面扮演着越来越重要的角色,对于互联网和云服务提供商来说,的确是有一定的市场优势,因为他们拥有大量的用户和海量的数据。
但是,CA机构在证书颁发和验证等方面的专业性和权威性是互联网和云服务提供商所无法替代的。CA机构作为数字证书的颁发机构,具有第三方的中立性。在数字证书行业中,保持CA机构的信誉和权威性非常重要。CA机构需要建立完善的信用审核标准,对证书的颁发和管理进行严格的监控和控制,同时采用先进的安全技术和措施,确保数字证书的真实性和安全性。只有这样,数字证书才能够作为数字身份验证和数据安全的重要保障之一,逐步被广泛应用于各个领域。
同时,云服务提供商也需要CA机构来为其提供SSL证书,以确保其云服务的安全性和可信度。因此,我认为CA机构和互联网、云服务提供商之间是互相依存的关系,而非竞争关系。
CA机构作为电子认证服务机构,除了SSL证书之外,还有很多的业务可以扩展和发挥。
以上海CA举例来说,我们作为专业的数字信任服务运营商,可提供多项软硬件协同服务。我们的数字信任服务体系综合运用区块链、数字身份、隐私计算和新型密码技术等前沿科技,打造可信数字身份和可信数据流通两大核心服务能力,综合提供数字身份服务、可信访问服务、数字签署服务、信任计算服务平台和数据安全服务,并按照应用需求对不同服务进行有机组合,灵活提供专项服务,以满足政务、金融、教育、医疗等不同领域中的多样化场景需求。
我相信,只要CA机构能及时适应市场变化,满足用户需求,还是可以在网络安全领域占有一席之地的。
12
赵九州:随着新一代信息技术的发展,SSL证书也需要与这些技术进行结合,目前物联网增长迅猛,超百亿台设备链接到互联网上,但安全意识都比较薄弱,还未构建好系统、设备、应用程序和用户之间的安全信任机制。你看好物联网市场吗?SSL证书如何在物联网场景中发挥作用?
崔久强:随着数字化时代的到来,物联网已经改变了人们的生活方式和商业模式。我认为这是一个非常具有潜力的市场,我非常看好这个市场,因为物联网连接的设备数量已经非常庞大,而且这个数量还在不断增长。
但同时互联网上的安全问题也日益严峻,在物联网中涉及到大量的设备和运营服务,如家庭智能设备、车联网、智慧城市等,并且这些设备实时性和可靠性非常重要。SSL证书的应用将有助于构建起一个可信的安全通信环境,为物联网的可靠运行提供安全保障。
目前SSL证书已经在物联网场景中发挥了重要的安全保障作用,许多注重安全性的物联网系统已经启用了SSL证书来保障身份认证和传输加密,随着安全意识的提高,这方面的需求将会越来越多。SSL证书为物联网连接提供端到端的安全保障,确保设备之间的通信安全可靠。
同时,也为物联网中的设备提供身份认证,这可以确保设备之间的通信只会发生在授权的设备之间,而不是被未经授权的设备所冒充。
另外,SSL证书也可以为物联网中的应用程序提供安全保障,确保应用程序与设备之间的通信安全可靠。
随着物联网市场的不断发展,我相信SSL证书会在物联网市场中具有非常广阔的应用前景,越来越多的物联网环境将支撑SSL证书的发展。与此同时,SSL证书也需要不断进行技术升级和创新,努力跟上数字化时代的步伐,以适应物联网场景中的新需求和新挑战。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需99元,全站资源免费下载 点击查看详情
站 长 微 信: hs105011