有一些企事业单位SSL证书(SSL数字证书)供应商提供了相应的资质:电子认证服务许可证、电子认证服务使用密码许可证、电子政务电子认证。
但细心的网友发现,这些证书根本无法证明SSL证书是国产的。
主要原因是用户拿到的SSL证书明面发布者显示某机构发布,但仔细查看证书链就会发现来自国外机构:Sectigo、Certum、DigiCert
这到底怎么回事?
SSL证书要被各大浏览器及操作系统可不简单。如果你现在成立数字证书公司,发布自己的国产SSL证书,会造成浏览器无法信任SSL证书,因为已经发布的操作系统和浏览器,不能增加新的SSL证书提供商,因为人没有办法回到过去。
操作系统:windows XP,发布于:2001年10月25日
操作系统:Windows 7,发布于:2009年10月22日
操作系统:Windows 10,发布于:2015年7月29日
操作系统:Windows 11,发布于:2021年10月5日
操作系统除了微软Windows,还有苹果iOS系统、Android系统等...
国产SSL证书谎言直接戳破
1、营业执照成立时间,不在1998年之前成立的SSL证书提供商,即使是国产SSL证书,这家公司的SSL证书肯定不满足兼容性(信任率):99%。
2、直接查看供应商的官方网站,地址栏的小锁点击查看,证书层次机构显示以下名称的,都不属于国产SSL证书:
1、USERTrust RSA Certification Authority
2、USERTrust ECC Certification Authority
3、Certum Trusted Network CA(这个名称最常见)
4、DigiCert Global Root CA
3、国产SSL证书厂家(原厂)没有电子认证服务许可证,肯定不是国产SSL证书(供应商没有很正常,因为可能是代理,但SSL证书厂家没有肯定不是国产SSL证书)。
这里特别注意一下拥有:电子认证服务许可证,也不代表有国产SSL证书。
典型案例很多,具体主要看你拿到的SSL证书,查看证书链就明白了。
4、中国境内国产SSL证书2012年发布的CFCA机构可以满足部分最新的浏览器信任,除此之外,其它号称国产SSL证书,全部是国外厂家发布的!
5、技术人员或者配合认证SSL证书认证人员,如果你在申请DV、OV、EV类型的国产SSL证书,如果域名认证过程中解析后缀是这样的:
1、记录值:A02939615C567984219CCEBBDD1AF575.656CBF9D5E10C28198378140C727E98B.TTD1cN2ld3.trust-provider.com或者记录值后缀出现:comodo.com、sectigo.com
只要类似这样的解析记录值都是国外机构:sectigo
2、记录值:50b788cd0fc4041dbceea8227c0b8ae053c2f209ea9d282d509dd7abdc80
记录值:很长的代码是国外机构:Certum
3、主机:_dnsauth,记录值:93lvqystk072lwmxs6r729zgpylsbk66
主机填写这样的名称,记录值是这样的国外机构:DigiCert
实名验证的时候暴露出国外SSL证书
申请 OV、EV类型的SSL证书用户特别注意:
1、凡是要通过打电话或者企业邮箱认证身份的都是国外SSL证书提供商。
2、不通过电话和邮箱认证的,但有一张扫描文件盖章签字的,大致内容如下,肯定是国外SSL证书机构:Certum。
特别注意:如果在签订合同在盖章的时候要求你在空白纸张盖章的,肯定是国外SSL证书。
3、不是国产SSL证书的名称公布,可以了解一下。
这些假的国外SSL证书怎么来的?供应商为什么要这样做?
一些经销商(提供商)直接向国外SSL证书提供商买了一个PKI(可以自定义一个名称)大概费用2.2万元1年,这种SSL证书就可以看起来像是自己的一样的。
由于国内一直有人推送国产SSL证书安全,还有人自己创编说是相关法律强制规定来吓用户,威胁用户后去工信部投诉域名到期等。域名证书到期怎么办?
其实SSL证书一直很安全,中国也没有这样的规定限制,我们国家的政府官方网站用的也是国外的,包括主流的网站:百度、京东、天猫、爱奇艺、腾讯视频、优酷、淘宝等。
由于SSL证书是不能立马成立公司就可以信任的,所以整个世界只有4家机构符合兼容性99%,其中Certum勉强符合。
国外SSL证书价格非常便宜,价格低的超越你的想象。供应商的目的是自然是赚钱,打着国产SSL证书名号销售,自称为自主品牌SSL证书具有自主研发的SSL证书,让人感觉到国产的好,国产的优秀安全等,根据用户的虚拟心里促进了发展。
关于SSL证书知识
SSL证书品牌已经是定论了,世界上就那么几个:GlobalSign、DigiCert、Sectigo、Certum(勉强)。
SSL证书其实没有什么好研发的,这些技术早就公开了,不是什么稀罕事,随便一个网络技术人员就可以简单的生成一本自签名SSL证书,而且是免费的,只是你发布的证书操作系统和浏览器认不认可的问题,如果要被认可除非时光机回到过去将根证书加到操作系统发布之前。
