最近有用户需求:国产根证书(国内根证书)SSL证书,但参数却写着“证书链:国内根证书,均需为顶级根二级根服务,无额外套根(三级根或四级根情况),根证书无市场大批量负面影响及安全隐患”玩起了文字游戏。
首先SSL证书是没有二级根证书,三级根证书或者四级根证书的,根证书就是根证书,也没有一级、二级,这是套牌贴牌非原厂SSL证书提供商进行SSL证书参数误导欺骗。
通畅指的二级根证书其实就中间证书,然而如果中间证书并非是根证书厂家自己的中间证书,那么会带来的安全风险很多,常见的是中间证书吊销后,导致服务器证书失效,其实更关心的是业务关系,相比而言原厂SSL证书的证书链都是根证书厂家的,并且厂家会提供服务。
我们打个比喻:您在任何地方买一台iphone手机,去世界任何一家iphone厂家或者官方网站都可以查到这台iphone的售后保障信息并且可以享受服务。然而如果是贴牌的手机,写的ipxcc品牌,甚至主板电源都是ipxcc,但系统却用的是ipnhone这样的组装机就不会受到iphone厂家欢迎,甚至有的人把小米手机贴一个iphone商标,外观看起来是iphone,但其实也不是,这也不会受到iphone厂家欢迎,这种手机称之为山寨,严重的说法就是欺骗,尤其是拿着国外手机品牌贴个LOGO在国内卖,称之为国内国产手机更为严重。
我们需要技能,基本证书常识,证书链的结构是:根证书——中间证书——服务器证书,组成的SSL证书。
根证书是SSL证书信任的起点,是证明SSL证书是不是国产的身份证,即使套牌贴牌中间证书换一万个名字,都无法掩盖真正的根证书来自哪个国家叫什么名称。
然而我们平常访问的:抖音、优酷、爱奇艺、京东、淘宝、腾讯,用的是国际算法(RSA或者ECC)SSL证书,因为这些证书需要被信任,最基本的门槛是要加入Microsoft、Apple、Mozilla、Google四大根证书库、通过WebTrust认证、厂家是CA/Browser Forum成员。
所以这里指的根证书是指RSA算法或者ECC算法的国际根证书。不包括不被主流浏览器信任的国密算法根证书,因为国密SSL证书不符合主流浏览器信任要求,所以国密SSL证书的资质和国际算法SSL证书资质是截然不同的,自然也不是一码事了。
有没有根证书其实,其实都是有公开的目录,也可以自己电脑上看看有哪些根证书被信任的,一目了然。
最后,如果你的参数合同里面写到“证书链:国内根证书,均需为顶级根二级根服务,无额外套根(三级根或四级根情况),根证书无市场大批量负面影响及安全隐患”,而且您的要求是国内根证书,应该写清楚SSL证书链所有的证书包括根证书、中间证书等都是国内的,如果你害怕,你可以要求图文并茂(如图:这是国内根证书的机构)。而不是引用他的错误信息,因为这样的内容让你签署后,很难说清楚!
