国产数字证书发展现状与建议.pdfVIP

国产数字证书发展现状与建议

据中国互联网络发展状况统计报告显示，截至2014年12月，

中国网民规模达6.49亿，互联网普及率为47.9%。中国已经成为互联

网大国。

伴随着互联网的普及，诸多互联网应用如电子邮件、网上购物等得

到了飞速发展，它们都离不开一个重要的安全认证措施——数字证书。

数字证书就好比是互联网上的电子身份证，用来标识信息单元的个体信

息。当网站服务器安装数字证书后，便可向网站访问者证明服务器的真

实身份，因为数字证书是由一个受信任的第三方权威机构——证书授权

中心(CertificateAuthority，CA)产生、分配并管理的，就像公民个人身

份证一样具有唯一性，无法篡改和仿冒。

【数字证书五大应用】

数字证书主要应用于以下五个方面：安全的电子邮件、安全终端保

护、可信网站、代码签名保护、授权身份管理，从而保证邮件安全、保

护用户终端和数据、鉴别钓鱼网站和假冒网站、验证软件供应商的身份

以保护移动端APP安全、管理对实体(用户、程序)的授权。

可以看出，数字证书的关键作用在于信息传输的保密性、数据交换

的完整性、发送信息的不可否认性、交易者身份的确定性。通过CA（如

沃通CA）这个权威的第三方机构认证后，互联网上可以建立起一种信

任机制，信息交互双方都能确认对方/自己拥有合法的身份，并在网上

能够有效无误地被数字证书进行验证。

【数字证书常见安全威胁】

数字证书对于保障互联网安全起着极为重要的作用，它可以确保用

户与他们访问的网站之间有一条安全、加密的直接连接。但是，从数字

证书诞生的那天起，针对它的攻击就一刻没有停止过。数字证书领域的

主要攻击和威胁有三种：

1.数字证书的私钥泄露和被破解

如果没有采取足够的安全措施对私钥进行安全保护，则有可能导致

私钥被泄露或被破解，从而给不法分子伪造合法证书、伪装成为目标对

象、骗取使用者信任的机会。因此，私钥保护通常执行最为严格苛刻的

安全管理措施和技术手段。

2.有效的数字证书误签发给了假冒者

这是一种由于证书认证机构工作出现疏忽、流程不完善而出现的证

书被错误签发的情形。其主要原因是证书认证机构没有鉴别出证书申请

者提交的身份信息的真伪，把一个合法有效的证书签发给了假冒者。假

冒者就可以利用用户对服务器证书的信任进行如网站钓鱼、网络仿冒等

一系列网络欺诈活动。

3.利用可信SSL服务器证书进行中间人攻击

中间人攻击是一种最为典型的攻击方式，假设攻击者通过某种途径

获得了一个与某网站域名完全相同的SSL服务器证书(即适用于https

网页浏览协议的数字证书)，且该证书被用户的浏览器信任，即从证书

验证的角度它是一个合法、有效“”的证书，则该攻击者就有可能在位于

用户与网站之间的网络通路上，伪装为中间人进行攻击，窃取用户的私

密信息。

【国产数字证书发展情况】

当前，我国PKI体系建设从一开始就采用了“自下而上”的方式，即

各地区各行业自行建立CA认证机构，一方面行业和区域性CA发展很

快，行业性质的电子认证服务机构发展很快，在金融、税务等领域国内

数字证书产业发展迅速，国产化程度较高，这些行业的产业特点在于基

本是一个封闭的环境，只需要行业内特定的客户端和服务器端都主动配

置使用相同的算法和信任链即可，涉及范围比较窄，因此给了国产证书

较大的发挥空间。

但另一方面，由于我国尚未建立起国家统一的PKI体系，在面向大

众的互联网数字证书如SSL证书应用领域，缺乏顶层设计和统一规划布

局，没有形成统一的协作机制来共同推进国际化，导致国内使用的SSL

服务器证书多为国外证书产品。SSL数字证书得到认可需要互联网领域

内相关各方相互支持与协助，包括浏览器、Web服务器、操作系统对

根证书的信任、公钥密码算法等各环节标准化与相互支持。

当前，国际上有WebTrust机构来对SSL证书颁发机构进行审计认

证，只有通过WebTrust国际安全审计认证的根证书才能预装到主流的

浏览器中，国内仅有沃通CA、上海CA、CNNICCA和中国金融认证

中心CFCA通过了WebTrust认证，完成了在主流浏览器IE、Firefox、

Chrome