国内CA机构国际SSL证书签发与市场机遇调研报告

发布时间：2024.11.13

国内用户尤其是政府用户倾向于选择国内CA机构签发的国际SSL证书，以满足身份数据不出境要求。零信浏览器和零信任安全研究院作为中立第三方发布调研报告，旨在为政府机构和国内用户选购国际SSL证书提供参考。本报告中的相关概念定义如下：CA机构仅指国内CA机构；SSL证书提供商是指SSL证书签发中级根C字段为CN（中国）的全球信任的国际SSL证书提供商；国际SSL证书指国际四大浏览器信任的国际算法（RSA/ECC）SSL证书；商密SSL证书是指国内商密浏览器（如零信浏览器）信任的商密算法（SM2）SSL证书。

一、国内CA机构的国际SSL证书签发情况

（一）具备四大浏览器根证书预置的CA机构

目前，在微软Edge浏览器和Windows操作系统、谷歌Chrome浏览器和安卓操作系统、Mozilla火狐浏览器、苹果Safari浏览器和iOS操作系统等四大主流浏览器根证书预置完成的国内CA机构仅有3家，分别为中金认证（CFCA）、上海CA、数安时代（GDCA）。

国内SSL证书CA机构

（二）不同类型SSL证书签发数量

截至2024年5月3日，依据谷歌证书透明日志系统的数据（真实可信），这3家CA机构签发的有效DV SSL证书、OV SSL证书和EV SSL证书数量如下表1所示。其中，OEM SSL指CA机构为SSL证书提供商定制的SSL中级根证书签发的SSL证书（包括DV/OV/EV SSL证书）。虽其数量在SSL证书季度报告中未被列入CA机构统计数据，但本报告将其列入，因为所有SSL证书的最终签发权和责任都归属于根CA机构。

（三）不同CA机构的签发策略

1.中金认证
中金认证只签发需要身份认证的OV和EV SSL证书，这一做法值得肯定，因为DV SSL证书不含网站身份信息，无法证明网站可信身份。

2.上海CA
上海CA开始学习国际CA机构为国内SSL证书提供商定制SSL中级根证书，这一举措值得点赞。通过这种方式，能够联合更多有客户资源的非CA机构共同开拓SSL证书市场，从而实现快速占领市场的目标。

（四）国内与全球SSL证书类型市场占比差异

在SSL证书类型方面，国内OV SSL证书占比高达76%，而全球市场DV SSL证书占比87%，OV SSL仅占13%。这表明国内CA机构目前主打高端OV SSL证书市场，以盈利能力为主要考量，而非低端的DV SSL证书市场（包括免费SSL证书），这种市场定位具有合理性，值得认可。

二、国内CA机构的根证书预置信任情况

（一）通过WebTrust审计并申请四大浏览器根预置信任的CA机构

国内有6家CA机构通过WebTrust审计且申请了四大浏览器的根预置信任，它们是中金认证、上海CA、数安时代、天威诚信、北京CA、亚数信息。

国内SSL证书CA机构

（二）各CA机构根证书预置情况

各CA机构的根证书预置情况如下表2所示，表格最后一行列出了各大浏览器发布的可信根列表的最新时间或者最新版本号。其中，上海CA的苹果Safari浏览器和Java信任是通过与欧洲CA机构Assecods根证书做交叉签名实现的，这是快速达成四大浏览器信任并最大程度支持老设备的有效技术手段。

（三）不同CA机构SSL证书通用性差异

1.整体情况
我国仅有3家CA机构直接或间接完成了四大浏览器的根预置和信任，但这并不意味着这3家CA机构签发的SSL证书通用性相同。

2.数安时代
例如数安时代，其根在苹果iOS预置的版本是12.1.3，在此之前的版本均不信任。若用户不升级iOS版本，则会影响使用。

3.上海CA
由于上海CA有欧洲CA的2008年老根做交叉签名，其签发的国际SSL证书通用性较好。

4.中金认证
中金认证的根证书于2016年完成四大浏览器的预置信任，至今已有8年，可视为老根，老设备也应到了淘汰阶段。
用户可根据自身业务需求和偏好，选择这3家CA机构及其定制的中级根证书的SSL证书提供商签发的国际SSL证书。

三、国内CA机构和SSL证书提供商应如何抓住商密改造的大机遇？

（一）国内CA机构国际SSL证书市场现状及原因

1.市场份额低
目前国内CA机构的国际SSL证书市场份额较低。我国SSL证书市场起步较晚，CA机构最初仅抓住USB Key证书市场机会，忽视了SSL证书市场的快速发展。此外，国际SSL证书的信任话语权被美国四大浏览器厂商掌握也是重要原因。

2.市场份额数据
除2016年有6个月国内CA机构市场份额超过国外CA机构外，截至今年3月31日，我国CA机构在政府市场的份额仅为10.78%，在整个中国市场估计低于5%。

（二）商密改造带来的机遇

1.合规需求带来的机会
如今，政府、金融等关键信息基础设施系统优先选购国内CA机构签发的国际SSL证书以符合数据不出境的合规要求，并且这些重要信息系统必须完成商密改造，采用商密SSL证书实现HTTPS加密。为兼容不支持商密算法的浏览器，必须部署双算法双SSL证书（商密SSL证书和国际SSL证书），这为国内CA机构和SSL证书提供商带来了绝佳机会。

2.成功案例借鉴
数安时代在安徽省取得优异成绩，不仅获得大量国际SSL证书订单，还实现了商密HTTPS加密在县级政府官网的普及，实现了社会效益和经济效益双丰收，值得借鉴。

（三）国内CA机构需要改进和提高的方面

1.商密SSL证书的证书透明
国内CA机构必须尽快实现所签发的商密SSL证书支持商密证书透明，切实保障商密SSL证书自身的安全可信。商密证书透明标准参考国际证书透明标准制定，技术原理相同，仅证书透明日志数据签名算法采用SM2算法，既然国际SSL证书已支持证书透明，CA机构升级系统支持商密证书透明并非难事。

2.双算法SSL证书的自动化管理
必须尽快实现双算法SSL证书的自动化管理，商密SSL证书的部署更依赖自动化，这有助于彻底解决商密改造难题。国际上两大CA机构（DigiCert和Sectigo）因自动化起步晚，在全球排名从第一和第二位滑落至第六和第七位，国内CA机构应引以为戒。

（四）无自有国际算法可信根CA机构的应对策略

对于没有或不打算设置自有国际算法可信根的CA机构，应充分认识市场趋势，尽快与拥有国际根的国内CA机构合作。国际SSL证书采用定制自己品牌中级根证书模式，商密SSL证书则改造CA系统自行签发，为用户提供双算法双SSL证书和自动化证书管理，而不仅仅销售国际SSL证书。用户需求的是自动化实现HTTPS加密、商密合规以及全球信任的HTTPS加密，只有适应市场需求才能赢得市场，实现国际SSL证书和商密SSL证书双丰收。

（五）国内SSL证书提供商和云服务提供商的发展机遇

国内SSL证书提供商和云服务提供商同样可发挥客户资源优势，与国内CA机构合作定制国际SSL中级根证书和商密SSL中级根证书，为用户自动化提供双算法双SSL证书，有可能超越CA机构取得市场领先地位。全球SSL证书市场已有类似超越传统CA机构的情况，排名第一的是软件厂商，第二、三、四、五位都是云服务提供商，关键在于能否认识到商机并及时把握。

总之，商密合规要求为国内CA机构和国内SSL证书提供商提供了夺回已失市场的良机，各方应积极行动，赢得双SSL证书市场，为普及商用密码应用、保障我国网络空间安全做出贡献。

原文链接：国内CA机构签发国际SSL证书的能力调研报告