国际ssl证书，openssl 国密证书

当您使用计算机的浏览器浏览互联网时，您会注意到许多网站在地址栏中显示加密锁定徽标。这表明该网站已实施SSL 证书，可以自动加密从您的浏览器到您的计算机的信息传输。服务器采用密码技术进行信息加密保护和服务器身份认证。

您可以通过单击加密锁徽标来查看SSL 证书的外观。如下左下图所示，证书信息指出，“该证书的目的是：向远程计算机证明您的身份；”当用户使用浏览器访问网站时，网站的身份是通过SSL证书来证明的，该证书证明了用户的真实身份。网站。第二个目的中的“远程计算机”是指服务器。这意味着SSL 证书可以证明Web 服务器的身份。这两句话有点令人困惑，但它们的核心含义是Web服务器的可信身份是通过SSL证书来证明的。您是否注意到没有明确说明加密的目的？加密只是一个辅助功能，这是数字证书的主要功能。服务器只有在证明其可信身份后才会被使用。 证书加密对称加密密钥实现信息的加密。如右图所示，当你用记事本打开SSL证书时，你会看到一堆乱码，通常以—–BEGIN CERTIFICATE—–开头，以—–结尾。证书终止——-终止。

SSL证书的核心当然是加密算法，所以用户需要知道这个SSL证书是用什么加密算法颁发的，或者说PKI系统使用什么加密算法对你的公钥进行数字签名。将不得不担心你正在使用什么。目前国际上公认的算法是RSA算法和ECC算法，使用这两种算法颁发的SSL证书被称为国际SSL证书，或者RSA SSL证书，或者ECC SSL证书，被称为书法。此名称的目的是区分使用国家加密算法SM2 颁发的SSL 证书。这称为国家加密SSL证书或SM2 SSL证书，也可以称为商业加密SSL证书或商业加密SSL证书。如果您使用国密浏览器访问某个网站并点击加密锁标志，您将看到“连接加密（RSA）”或（ECC）或（SM2），它会告诉您当前正在使用哪种加密算法。你可以清楚地看到有没有。实施https加密。

目前国际标准要求RSA算法的SSL证书密钥长度至少为2048位，ECC算法的SSL证书密钥长度至少为256位。采用国家加密要求的SM2 算法的SSL 证书必须至少为256 位。标准也是256位。从长度上你应该明白，ECC和SM2算法的密钥较短，允许更快的加密和解密，并且节省计算能力、带宽和电力。因此，现在很多高流量网站都在部署ECC算法的SSL证书。这也是国密算法SM2 SSL证书的技术优势。这是因为它们都使用了256位的椭圆曲线算法，但没有使用国密算法SM2的曲线参数。我国计算的算法不同。根据Certificate Transparency日志数据统计，目前全球范围内有效的SSL证书中有90%是使用RSA算法的SSL证书，而作为主要的云服务提供商，他们自动提供的使用ECC算法的SSL证书我们认为占了很大一部分。 10%。如果您在用户的SSL 证书中配置ECC 算法，那么该百分比肯定会继续增加。

Google 搜索部署ECC SSL 证书，如上图所示。该证书的签名算法是RSA。这意味着这个SSL证书颁发的中间根证书是RSA算法证书。级别根证书和中级根证书都是RSA算法；只有用户证书是ECC算法。即证书信任链使用RSA算法进行签名，实际的https加密也是使用ECC算法实现。 Google 没有顶级根证书的最后手段ECC 算法，因此它符合国际标准。看一下下图。签名算法为ECDSA，用户证书公钥为ECC。这意味着颁发此SSL 证书的中级根证书是顶级根证书Intermediate。使用ECC算法的SSL证书，证书链文件更小，https协议握手更高效，节省流量和带宽。

当然，国密SSL证书的整个证书链均采用国密SM2算法。 ZeroXin浏览器显示国密SSL证书的证书信息，如下左图所示。签名算法为国密SM3_SM2。在Windows 证书查看器中查看时，签名算法显示为OID：1.2.156.10197.1.501。这是因为Windows当前无法成功识别和显示SM2 SSL证书的签名算法，因此还会显示以下公钥参数： OID：1.2.156.10197.1.301表示该证书使用椭圆曲线算法，但使用SM2算法无法识别为曲线，因此显示ECC（0 Bits）。如果在不支持SM2算法的系统上查看证书，只要显示这两个OID，就是SM2算法证书，但系统不会成功转换并显示。

SSL 证书的第二个重要信息是颁发该证书的CA 以及顶级根证书所属的CA。了解这些信息也很重要。常规部分显示此SSL 证书颁发给哪个域名、颁发者以及证书的有效期。如下左图所示，目前常见的证书有效期为1年，即90天。单击“证书路径”选项卡可查看此证书的完整证书链。第一行是顶级根证书，表明哪个CA组织是该证书的最终信任来源。第二行是中间根证书，通常代表该证书的品牌。第三行是用户证书绑定的网站域名。同时从下面两张图可以看出，这个SSL证书的顶级根证书、中级根证书、用户证书都是ECC算法证书。

目前，某个品牌SSL证书提供商的市场份额或发行量是根据中间根证书的品牌来衡量的。我们来看看截至2023年1月1日的数据。全球市场及各自颁发的有效证书数量排名前10位的公司分别是：Let’s Encrypt（4.4584亿）、Cloudflare（8641万）和DigiCert（4459万）。谷歌（4361万）、Sectigo（4347万）、亚马逊（3896万）、cPanel（3047万）、微软（2170万）、ZeroSSL（1685万）、GoDaddy（1021万张照片）。

此统计数据可能有助于您理解为什么作者继续将颁发SSL 证书的公司称为“SSL 证书提供商”而不是CA 组织。在颁发SSL 证书的前10 名公司中，只有两家是实际的CA 组织。DigiCert 和Sectigo 分别排名第三和第五，其他八家公司是互联网公司或云服务提供商。第一，Let’s Encrypt 在其官方网站上声称自己是一家提供TLS 证书的非盈利CA。将该公司归类为互联网公司。排名第二的是互联网云服务提供商Cloudflare，排名第三的是互联网巨头和云服务提供商谷歌。排名第六的亚马逊是云服务提供商，排名第七的cPanel是互联网公司，排名第八的微软是软件巨头、互联网巨头和云服务提供商。 No.9是一家隶属于某互联网公司的SSL证书代理机构。排名第十的是GoDaddy，一家经验丰富的域名注册商和互联网服务提供商。笔者对这几类公司进行分析的目的是为了帮助大家充分了解SSL证书的领先公司是谁，以便全国的互联网公司和云服务提供商找到商机，安全地颁发自己品牌的SSL。为您的业务系统配置SSL证书，增强云服务的核心竞争力，因为您的用户需要的是https加密，而不是SSL证书。