Invitado de este número
Cui JiuqiangGerente general del Shanghai CA Center
Cui Jiuqiang, gerente general de Shanghai Digital Certificate Certification Center Co., Ltd., miembro del distrito de Jing'an de Shanghai de la CCPPCh, el primer pionero de la construcción de ciudades inteligentes de Shanghai, presidente del Comité de firma digital de la Alianza para el desarrollo de la industria de la información de Belt and Road y China Electronics Certification Industry Alliance Miembro del comité especial, director del Comité Especial de Autenticación Electrónica de la Sociedad Criptográfica China, director del Laboratorio de Innovación Colaborativa, un talento de élite de alto nivel en la industria de Shanghái y un talento de primer nivel en Distrito de Hongkou Durante mucho tiempo ha estado comprometido con la autenticación electrónica, la identidad digital, la cadena de bloques, la seguridad de los datos y la investigación en los campos de la confianza digital, ganó el tercer premio del Premio al Progreso de la Ciencia y la Tecnología de Shanghai, el primer premio del Premio de la Ciencia y la Tecnología de Shanghai , el premio a la contribución a la calidad de la innovación estándar de China, compiló 10 estándares nacionales/industriales/locales y 20 patentes de invención nacionales. Participó en más de 30 proyectos de investigación científica provinciales y ministeriales.
anfitrión
Zhao Jiuzhou Tencent Cloud-Director del Centro Empresarial
Zhao Jiuzhou, Director de Tencent Cloud-Enterprise Center, Director de Observable Platform. Responsable de Tencent Cloud Observable Platform, DNSPod, Tencent Documents, Tencent Questionnaire y otros productos. Se desempeñó sucesivamente como gerente general de la plataforma 58 Daojia y vicepresidente del negocio Tongchengbang de 360 Group. , Heli Capital y otros VC invertidos USD 10 millones en capital de riesgo. Al mismo tiempo, también es un experto senior en digitalización de empresas físicas y tomó la iniciativa en la formulación de la "Certificación estándar de digitalización de pymes de China".
1
Zhao Jiuzhou : en 1998, Shanghai Digital Certificate Certification Center Co., Ltd. (Shanghai CA para abreviar) se estableció como un proyecto piloto aprobado por el Grupo líder de trabajo de cifrado central y respaldado por el gobierno municipal de Shanghai. Actualmente es un tercero líder -organización de servicio de certificación electrónica del partido en China Nuestro lado es muy Muchos webmasters han comprado certificados SSL de usted. Hasta ahora, China se ha convertido en el tercer país más grande en implementar certificados SSL, pero mirando hacia atrás en su carrera inicial, los certificados SSL son un campo relativamente específico. ¿Por qué eligió la pista relacionada con la tecnología de encriptación y los certificados digitales? ¿Cuál es la oportunidad de unirse a Shanghai CA?
Cui Jiuqiang: Desde 1997, ha surgido la primera ola de comercio electrónico en todo el mundo. En ese momento, había un dicho muy popular en Internet, llamado "En Internet, nadie sabe que eres un perro". Detrás de esta oración, en realidad hay un problema difícil: cuando reconstruimos el proceso comercial a través de la red, necesitamos resolver muchos problemas para garantizar la seguridad y confiabilidad de las actividades comerciales , como la autenticación de identidad, evaluación de confianza, seguridad de transacciones y otros aspectos. de protección
La tecnología criptográfica es una herramienta importante para resolver los problemas de seguridad de la red Basado en el sistema PKI/CA, podemos usar la tecnología criptográfica para establecer identidades confiables entre los sujetos de la red, como la emisión de certificados digitales de CA para identificar las identidades de los sujetos del sitio web y la tecnología de firma para garantizar integridad y confiabilidad de los datos.
Se puede decir que los certificados digitales son una forma importante de tecnología criptográfica en aplicaciones prácticas . En ese momento, el campo de los certificados digitales era bastante nuevo, pero su potencial y promesa para proteger la web era enorme. Así que soy muy optimista sobre esta pista, y siempre me ha gustado y me he dedicado a esta industria.
En cuanto a la oportunidad que tuve de unirme a Shanghai CA, en realidad estuvo influenciada por el desarrollo del comercio electrónico en ese momento. Después de graduarme de la Universidad de Fudan en Shanghái en 1997, me uní a una empresa estatal tradicional. Pero el auge de la ola del comercio electrónico me dio la idea de trabajar en el desarrollo de tecnologías de la información y la tecnología informática . En ese momento, sentí que la informatización sería la ola del futuro, y el desarrollo de la informatización en red cambiaría toda nuestra sociedad, economía y forma de vida.
Por casualidad, entré en el mercado de reclutamiento y noté una empresa con un nombre largo llamado: Shanghai E-Commerce Security Certificate Management Center Co., Ltd., que es el nombre más antiguo de Shanghai CA. Las palabras "comercio electrónico" y "certificado de seguridad" me hicieron muy feliz y descubrí que esto coincidía con mi plan de carrera anterior. Después de regresar a casa, revisé varios materiales relevantes en chino e inglés a través de Internet de acceso telefónico. A través de una comprensión más profunda, vi las oportunidades de desarrollo de esta industria emergente y fortalecí mi determinación de unirme a esta industria. Este es mi encuentro con Shanghai CA.
2
Zhao Jiuzhou: Aunque la implementación de certificados SSL en sitios web se está volviendo cada vez más popular, muchas personas aún eligen certificados gratuitos. Después de todo, el nivel de encriptación también es bueno y se pueden emitir en unos minutos como máximo. Incluso algunos las grandes empresas están utilizando certificados gratuitos. Bajo la abrumadora ofensiva de los certificados gratuitos, ¿de qué otra forma podría Shanghai CA promover los certificados pagos? ¿Cuál es el mayor obstáculo para que promuevan los certificados pagos?
Cui Jiuqiang: En cuanto a certificados gratuitos, el más representativo es Let's Encrypt, actualmente los certificados gratuitos en el mercado son básicamente certificados DV (certificados de nombre de dominio). Aunque el certificado gratuito reduce el umbral para aplicar y desplegar un certificado SSL hasta cierto punto, también pierde una función importante del certificado SSL, es decir, la verificación de autenticidad de la identidad organizacional del propietario del nombre de dominio .
Desde la perspectiva de la autenticación de identidad, la aplicación del certificado DV no identifica la identidad de la organización, lo que puede causar que algunos sitios web maliciosos o ilegales se hagan pasar por sitios web legítimos , lo que genera riesgos de seguridad para los usuarios. También hay algunos proveedores de certificados SSL gratuitos que pueden aprovechar la oportunidad de emisión de certificados para marketing comercial y recopilación de datos, y existe el riesgo de que se filtre la privacidad .
Shanghai CA, como organización profesional y legítima de servicios de certificación electrónica de terceros, sigue estrictamente los requisitos de las "Medidas administrativas para los servicios de certificación electrónica" para administrar y supervisar a los usuarios de certificados. En comparación con los certificados gratuitos sin garantías de seguridad, los certificados pagos disfrutan de mayores garantías de seguridad , como un proceso de autenticación de identidad más estricto y un soporte técnico más completo. Con el fin de ayudar a los usuarios a manejar mejor los problemas complejos de seguridad de la red, también podemos brindar servicios y soluciones personalizados de acuerdo con las necesidades de los usuarios .
En la promoción de certificados pagados, trabajamos en estrecha colaboración con socios, clientes y organizaciones de la industria, con la esperanza de crear un entorno de red más ecológico y saludable para los usuarios. En la actualidad, cada vez más personas comienzan a darse cuenta del valor de los certificados pagos y muchos usuarios de certificados gratuitos han comenzado a cambiar a certificados pagos.
Por supuesto, también encontramos ciertos obstáculos durante el proceso de promoción, principalmente debido a la competencia de los certificados gratuitos y la presión de las guerras de precios del mercado . Pero nuestra intención original sigue siendo la misma. Por un lado, seguimos mejorando la calidad de los certificados y servicios. Por otro lado, también prestamos atención a la investigación de mercado y al análisis de la demanda de los clientes, y nos esforzamos por mejorar la seguridad, la confiabilidad y la facilidad de uso de los certificados, de manera de mantener el mercado de certificados pagados Competitividad.
Let's Encrypt emitió millones de certificados debido a errores y todos los certificados incorrectos se revocaron en 5 días. Millones de certificados corresponden a millones de sitios web y servicios de red. Una vez que se revoque el certificado, HTTPS no podrá conectarse, lo que provoca directamente que el sitio web o el servicio no puedan conectarse . Por lo tanto, para lograr mejor la seguridad de los datos y la garantía de uso, aún recomendamos a los usuarios que elijan certificados pagos.
Let's Encrypt emitió un error, anunció que revocaría millones de certificados
3
Zhao Jiuzhou : cuando se trata de certificados DV (certificados de nombre de dominio), son la primera opción para la mayoría de los sitios web. En 2002, GeoTrust inventó el certificado DV SSL que solo verifica el nombre de dominio, que se puede emitir rápidamente en unos minutos, rompiendo la práctica original de solicitar un certificado SSL que lleva una semana o más y acelerando la popularidad de https. Sin embargo, los certificados de tipo DV pueden otorgar cifrado estándar como otros tipos de certificados sin verificar la identidad real del sitio web.Después de la implementación, también puede ver un candado en la barra de direcciones del navegador, que ha sido utilizado por muchos sitios web de phishing para atraer a los usuarios. . Cuando los certificados de tipo DV son "productos castrados" que no pueden probar la identidad de los sitios web legítimos y pierden gradualmente la confianza del público, ¿cree que este tipo de certificado sigue siendo necesario?
Cui Jiuqiang: Los certificados DV (certificados de nombre de dominio) tienen ciertas limitaciones para garantizar la seguridad del sitio web, ya que solo verifican la propiedad del nombre de dominio, pero no verifican la identidad de la organización o individuo detrás del sitio web . Por lo tanto, si un atacante usa un nombre de dominio válido para solicitar e implementar un certificado DV, puede usar este certificado para configurar un sitio web de phishing, engañando a los usuarios para que piensen que es un sitio web legítimo.
Sin embargo, los certificados DV siguen siendo útiles para ciertos tipos de sitios web. Para sitios web no comerciales como pequeñas empresas o blogs personales , es posible que no tengan mucho presupuesto o calificaciones para comprar certificados OV (Validación de organización) o EV (Validación extendida) más caros, porque estos certificados requieren procedimientos de verificación más complicados. Umbral de aplicación más alto. , y el precio será relativamente más alto. En este momento, el certificado DV puede proporcionar la protección de cifrado HTTPS más básica , de modo que los visitantes de estos sitios web puedan navegar de forma segura por el sitio web y enviar formularios.
Sin embargo, con el aumento de los ataques a la red, como los sitios web de phishing, también aumenta la posibilidad de que se utilicen certificados DV, lo que representa una amenaza potencial para la seguridad de Internet. Por lo tanto, a largo plazo, las instituciones de CA deben tomar medidas más estrictas para garantizar la seguridad de los usuarios cuando usan certificados DV, a fin de restaurar la confianza del público en ellos . Al mismo tiempo, también hago un llamado a todas las instituciones de CA para que mejoren la seguridad y la confianza de los certificados a través de medios técnicos para evitar el uso malicioso de los certificados.
4
Zhao Jiuzhou : Como dijiste, desde la perspectiva de la seguridad, el certificado OV SSL (certificado de validación de la organización) y el certificado EV SSL (certificado de validación extendida) pueden verificar mejor la identidad de la empresa y realmente desempeñar un papel en la prevención de sitios web de phishing. Sin embargo, la cuota de mercado de estos dos tipos de certificados es relativamente pequeña. Además del alto precio, muchos navegadores ya no muestran el nombre de la unidad en el certificado en la barra de direcciones, y el efecto de mejorar la imagen del sitio web es muy grande. reducido. ¿Cómo ve el dilema de promoción actual del certificado OV SSL y el certificado EV SSL? ¿Cuál cree que es la forma innovadora de promover estos certificados?
Cui Jiuqiang : Los certificados OV SSL y los certificados EV SSL son, de hecho, más confiables para verificar identidades corporativas, y también son más capaces de prevenir ataques de sitios web de phishing. Sin embargo, debido a la necesidad de cubrir los costos comerciales correspondientes, como la verificación de identidad,el precio también es más alto, lo cual es inasequible para muchos sitios web pequeños y usuarios individuales, por lo que la participación de mercado es relativamente pequeña. Además,algunos navegadores ya no muestran el nombre de la unidad en el certificado de la barra de direcciones, lo que reduce el efecto de estos certificados en la mejora de la imagen del sitio web.
Para solucionar estos problemas, la promoción de los certificados OV SSL y los certificados EV SSL todavía requiere varios esfuerzos. Necesitamos aumentar la conciencia pública sobre la seguridad de los sitios web y la prevención de ataques de phishing , para que más personas sean conscientes de la importancia de estos certificados y estén dispuestos a pagar más por certificados de nivel superior.
Sin embargo, los precios de los certificados OV SSL y EV SSL son generalmente altos, lo que también es uno de los principales obstáculos para la promoción. Por lo tanto, las instituciones de CA también pueden considerar lanzar estrategias de precios y paquetes de certificados más flexibles para satisfacer las necesidades de los diferentes usuarios.
Otro punto es mejorar la visibilidad del certificado en el navegador . Por ejemplo, el icono del certificado, el nombre del certificado, etc. se muestran en la página para que los usuarios puedan encontrar el certificado más fácilmente. Para los fabricantes de navegadores domésticos, también pueden considerar la reintroducción de funciones como el nombre de la unidad de visualización de los certificados EV, para mejorar el valor y la credibilidad de estos certificados.La seguridad del sitio web debe ser "visible".
5
Zhao Jiuzhou : Muchas empresas prefieren los certificados comodín cuando compran certificados SSL, porque después de configurar un nombre de dominio principal, también se pueden cubrir nombres de subdominio ilimitados, es decir, se puede usar un certificado para nombres de dominio relacionados con toda la empresa. Sin embargo, los certificados comodín todavía tienen grandes riesgos de seguridad. "Todos los huevos están en la misma canasta". Una vez que se filtra la clave privada de este certificado comodín, la CA debe revocar este certificado, lo que hará que todos los sitios web con el nombre de dominio principal fallen. Utilice el servicio de cifrado https. Como organización de CA, ¿qué tipo de usuarios recomendaría comprar certificados comodín? ¿Qué tipo de usuarios intentan no comprar certificados comodín?
Cui Jiuqiang : Como organización de CA,sugerimos que solo los usuarios que realmente necesitan certificados comodín deberían elegir este tipo de certificado.
Por ejemplo, si una empresa posee varios subdominios y necesita usar certificados SSL, y estos subdominios se generan dinámicamente , será más engorroso y costoso comprar varios certificados SSL de un solo nombre de dominio. En este caso, los certificados comodín pueden cubrir todos los subdominios de manera más conveniente y también pueden reducir la carga de trabajo de la administración de certificados. Sin embargo, dichos usuarios aún sugieren que se requieren medidas de seguridad adicionales para garantizar la seguridad de la clave privada y evitar posibles amenazas a la seguridad.
Sin embargo, para los usuarios con solo una pequeña cantidad de nombres de dominio fijos, no recomendamos elegir certificados comodín . Porque el certificado comodín tiene el riesgo de que se filtre la clave privada, por lo que todos los subdominios no pueden usar el cifrado https, y este riesgo no está disponible para los certificados de nombre de dominio único. Además, los certificados comodín también pueden aumentar otros riesgos de seguridad, por ejemplo, un nombre de subdominio que se piratea puede afectar la seguridad de todo el sitio web.
Además, si su empresa necesita administrar y controlar diferentes subdominios por separado, los certificados comodín pueden causarle problemas en la administración . En este caso, puede considerar comprar varios certificados de nombre de dominio único, cada uno correspondiente a un nombre de subdominio, para que pueda administrar y controlar mejor su certificado SSL.
Por tanto, a la hora de elegir un tipo de certificado, los usuarios deben sopesar y elegir en función de su situación y necesidades reales. Por supuesto, como una organización profesional de CA de terceros, también brindaremos sugerencias y opiniones profesionales al comprar certificados.
6
Zhao Jiuzhou : el 99 % de los sitios web nacionales utilizan certificados SSL emitidos por CA extranjeras, por lo que la "descontinuación de los certificados SSL" ha estado a la vanguardia. Además, durante el conflicto entre Rusia y Ucrania en febrero del año pasado, los certificados SSL de Se revocaron los sitios web del gobierno y de los bancos rusos. Se emitieron más de 3.000 copias, lo que provocó que una gran cantidad de sitios web del gobierno y de los bancos quedaran paralizados porque no se podía acceder a ellos con normalidad, lo que hizo sonar una fuerte alarma de seguridad para nosotros. Bajo la impredecible situación internacional, ¿estamos preparados para enfrentar la "descontinuación" de los certificados SSL?
Cui Jiuqiang : La "descontinuación" de los certificados SSL es un problema digno de atención. En la actualidad, la mayoría de los sitios web nacionales utilizan certificados SSL emitidos por instituciones de CA extranjeras, lo que significa quesi estas instituciones de CA tienen problemas impredecibles, como desastres políticos, económicos, naturales y otras razones que les impiden continuar con sus servicios, entonces habrá ser una situación de "descontinuación del certificado SSL". En este caso, los sitios web afectados no podrán proporcionar servicios https seguros y la información personal y la privacidad de los usuarios pueden verse amenazadas.
Para hacer frente a esta situación, varias agencias de certificación electrónica líderes en el país, incluida Shanghai CA, participaron activamente en las discusiones del foro CA/B, llevaron a cabo reformas de cumplimiento con referencia a los estándares internacionales y arraigaron activamente a los principales fabricantes de navegadores .
Sin embargo, por consideraciones de largo plazo, la solución fundamental es buscar alternativas domésticas . En la actualidad, estamos ampliando activamente la colaboración y cooperación del ecosistema de servicios de confianza nacionales, haciendo los preparativos para la "descontinuación" de los certificados SSL.
El certificado de la marca Wanweixin lanzado por Shanghai CA ahora ha implantado el certificado raíz del algoritmo doméstico en 360, Qi Anxin, Red Lotus, Athlon y otros navegadores principales nacionales; al mismo tiempo, Shanghai CA Wanweixin también ha desarrollado un conjunto de The self -El módulo de software adaptativo puede identificar automáticamente si el navegador del cliente es compatible con el algoritmo secreto nacional al implementar el modo de certificado de algoritmo dual y adaptarse automáticamente al certificado de algoritmo nacional o al certificado de algoritmo internacional; Shanghai CA Wanweixin también ha completado Tongxin, Kylin, China Electronics Cloud PKS y otros trabajos de adaptación del sistema de aplicaciones nacionales, sobre la base de acelerar la aplicación y promoción de algoritmos criptográficos nacionales, compatibles con los requisitos ambientales de la red de Internet, y ha establecido una cooperación estratégica con una serie de servicios en la nube de propiedad estatal. proveedores
7
Zhao Jiuzhou : A pesar de que el certificado secreto nacional se ha discutido intensamente durante varios años, sabemos que el entorno de aplicación global actual no es compatible con el sistema de algoritmo secreto nacional, y China aún no ha formado una ecología de aplicación de software básica que admita el nacional. algoritmo secreto. Además, el camino hacia la implementación automatizada también es difícil. No ha sido aprobado, y el protocolo ACME internacional no es compatible con el certificado SSL secreto nacional, lo que dificulta la reforma del secreto nacional en el campo de los certificados SSL. . Según su experiencia, ¿la situación actual de la implementación de los secretos nacionales es optimista? Para aumentar la densidad de despliegue de los certificados secretos nacionales, ¿cuál cree que debería ser el camino futuro?
Cui Jiuqiang : En la actualidad, la implementación de certificados secretos nacionales en China aún es relativamente pequeña, pero con el apoyo y la promoción de políticas nacionales y el desarrollo continuo de tecnologías de encriptación relacionadas, creo que se espera que la densidad de implementación de certificados secretos nacionales aumente. aumentar gradualmente en el futuro.
Para aumentar la densidad de implementación de los certificados secretos nacionales, creo que se pueden hacer esfuerzos en los siguientes aspectos: primero, es necesario fortalecer el soporte de los algoritmos secretos nacionales en varios software y hardware básicos , como sistemas operativos, navegadores, servidores, etc. Solo cuando estas infraestructuras estén totalmente respaldadas, los certificados secretos nacionales podrán implementarse ampliamente.
En segundo lugar, es necesario introducir un esquema de despliegue automatizado correspondiente para los certificados secretos nacionales , haciendo que el proceso de despliegue de los certificados secretos nacionales sea más fácil y eficiente. Por supuesto, esto requiere los esfuerzos conjuntos de las instituciones de CA, los fabricantes de equipos, los fabricantes de software, los proveedores de aplicaciones y otras partes para establecer un ecosistema correspondiente.
En la actualidad, el servicio de certificado de algoritmo dual lanzado por Shanghai CA tiene en cuenta el cumplimiento y la compatibilidad del secreto nacional, lo que aumenta aún más el despliegue de certificados secretos nacionales. En la actualidad, la autoridad nacional competente también está tomando la iniciativa en el establecimiento de un mecanismo de gestión y promoción de certificados SSL basados en algoritmos criptográficos nacionales, emitiendo estándares relevantes y formulando especificaciones relevantes, y acelerando la aplicación de certificados secretos nacionales. Shanghai CA también está activamente cooperar con las autoridades competentes para invertir en este trabajo.
Finalmente, es necesario fortalecer la cooperación de las organizaciones de normalización nacionales y extranjeras para promover el desarrollo y la mejora de las normas internacionales, de modo que los certificados secretos nacionales puedan utilizarse ampliamente en todo el mundo.
8
Zhao Jiuzhou : El escenario de aterrizaje más importante del certificado SSL de Secreto de Estado es el sitio web del gobierno y su plataforma en la nube. Shanghai CA también ha emprendido proyectos de "ventanilla única" de muchas agencias gubernamentales, pero solo desde el despliegue de los sitios web oficiales del Gobiernos provinciales en 31 provincias, municipios y regiones autónomas de China Mirándolo, solo el sitio web oficial del Gobierno provincial de Jiangxi y el sitio web del Gobierno provincial de Hunan han implementado certificados SSL secretos nacionales, y la cobertura de secretos nacionales es muy baja. ¿Cuáles cree que son los principales obstáculos para que los usuarios del gobierno reformen los secretos nacionales? ¿Qué tipo de estrategias de afrontamiento tiene Shanghai CA actualmente?
Cui Jiuqiang : De hecho, es difícil para los usuarios del gobierno reformar los secretos nacionales.
Desde un punto de vista técnico, debido a la particularidad del algoritmo secreto nacional, los usuarios del gobierno necesitan actualizar o reemplazar los sistemas y equipos existentes y, al mismo tiempo, deben llevar a cabo una configuración e implementación complejas, lo cual es difícil para algunas agencias gubernamentales. con fortaleza técnica relativamente débil , dijo que puede causar mayores dificultades .
Además, el costo de la renovación también es un problema. Debido a que la aplicación del algoritmo secreto nacional requiere el uso de equipos de hardware y tecnología de software especiales, el costo es relativamente alto y puede convertirse en una inversión inasequible para algunas agencias gubernamentales con fondos limitados.
Otro aspecto es la falta de experiencia. Las agencias gubernamentales carecen de experiencia en la aplicación y práctica de algoritmos secretos nacionales y pueden enfrentar muchos desafíos y dificultades. Por ejemplo, pueden encontrar problemas en la actualización y el despliegue, y necesitan el soporte técnico y los servicios correspondientes.
Al integrar más de 20 años de experiencia en la prestación de servicios de certificados confiables para gobiernos, empresas, instituciones y usuarios individuales, Shanghai CA ha logrado un progreso constante en el camino de la investigación y el desarrollo de cifrado nacional y certificados de marca propia. Podemos proporcionar soporte técnico y servicios relevantes para ayudar a las agencias gubernamentales a actualizar e implementar algoritmos secretos nacionales para garantizar su aplicación segura y confiable.
Al mismo tiempo, también proporcionamos certificados secretos nacionales rentables y puertas de enlace blandas para atraer a más agencias gubernamentales a adoptar algoritmos secretos nacionales. Entre ellos, la solución de encriptación https basada en el algoritmo secreto nacional: emite certificados SSL SM2, proporciona suites secretas nacionales del lado del servidor y admite certificados de algoritmo dual, lo que hace que el algoritmo secreto nacional alcance una etapa práctica en el cifrado de sitios web.
Además, hemos estado promoviendo las ventajas y el valor del Algoritmo Secreto Nacional a través de varios canales para aumentar la conciencia y el reconocimiento del Algoritmo Secreto Nacional por parte de las agencias gubernamentales, promoviendo así su aplicación y promoción.
Con el énfasis del gobierno chino en la seguridad de la información y la madurez de la tecnología de cifrado nacional, cada vez más organizaciones tienden a adoptar algoritmos secretos nacionales y aplicaciones secretas nacionales para cumplir con los requisitos de cumplimiento y proteger la seguridad del sistema. La aplicación de secreto comercial y la transformación de secreto nacional pueden ayudar a las empresas a evitar riesgos como la fuga de información, la manipulación de datos y los ataques a la red, y mejorar la seguridad y la confiabilidad de los negocios principales. Basado en esto, Shanghai CA ofrece una serie de aplicaciones de secretos comerciales y soluciones de transformación de secretos nacionales para clientes gubernamentales y empresariales.
9
Zhao Jiuzhou : el 3 de marzo de este año, Google lanzó la hoja de ruta "Juntos", anunciando que reducirá el período máximo de validez de los certificados TLS públicos de 398 días a 90 días en futuras actualizaciones de políticas o propuestas de votación del Foro CA/B. Muchos comentarios creen que este plan tendrá un gran impacto en las instituciones de CA, porque los certificados SSL gratuitos de 90 días liderados por los navegadores Google y Firefox han ocupado más del 60% de la participación del mercado global, mientras que el período de validez de los certificados pagados de los navegadores tradicionales. Las instituciones de CA solo se acortan a 90 días, entonces la disposición de los usuarios a gastar dinero para comprar certificados SSL pagados se verá muy debilitada. ¿Que piensas de éstas noticias? ¿Te preocupa que este plan cambie la vida de CA?
Cui Jiuqiang : La hoja de ruta "Going Together" de Google ha tenido cierto impacto en las instituciones CA tradicionales, porque los usuarios pueden optar por utilizar certificados SSL gratuitos con un período de validez de 90 días en lugar de gastar mucho dinero en comprar certificados pagos . Sin embargo, este certificado pago todavía tiene sus ventajas.
El 3 de marzo de 2023, Google lanzó la hoja de ruta "Juntos", anunciando que reducirá el período máximo de validez de los certificados TLS de 398 días a 90 días.
Todavía hay muchas empresas y usuarios que necesitan certificados SSL de alto nivel , que tienen requisitos de verificación más estrictos y un mayor rendimiento de seguridad.
Además, el período de validez reducido de los certificados SSL significa que los certificados deben renovarse con más frecuencia, lo que en realidad brinda más oportunidades comerciales y de servicios potenciales para las instituciones de CA. No es difícil ver que la automatización de la implementación de certificados se ha convertido en la tendencia futura. Para cumplir con la tendencia de la industria de acortar continuamente el período de validez de los certificados, las principales CA nacionales han comenzado a admitir el protocolo ACME para brindar a los usuarios servicios de administración automática de certificados SSL. También estamos desarrollando y probando activamente herramientas de automatización de certificados basadas en el protocolo ACME para responder mejor a los desafíos de la industria provocados por el período de validez reducido de los certificados y ayudar a los usuarios a administrar y renovar los certificados más fácilmente. Próximamente también se lanzarán productos y soluciones relacionados. Creemos que esta nueva tecnología le brindará una experiencia de administración de certificados más eficiente, conveniente y segura.
También hemos visto que, además de vender certificados, las instituciones de CA también han comenzado a brindar otros servicios de seguridad de valor agregado , como el escaneo de vulnerabilidades y el monitoreo del estado de los certificados.Gran demanda del mercado.
Si bien la hoja de ruta publicada por Google ha presentado ciertos desafíos para las instituciones de CA tradicionales, creo que las principales instituciones de CA tienen la capacidad de hacer frente al nuevo entorno de mercado Al mismo tiempo, los usuarios aún tienen diferentes necesidades y preferencias, por lo que creo que las CA tradicionales instituciones Las instituciones no serán eliminadas.
10
Zhao Jiuzhou : en la actualidad, existen varias marcas antiguas de certificados de CA que son ampliamente utilizadas y confiables en todo el mundo, como Sectigo, DigiCert, etc. Sus años de experiencia técnica acumulada y sistemas maduros brindan servicios más seguros y estables. Como una de las primeras instituciones de CA en China, tiene certificados puramente nacionales como Wanweixin. ¿Cree que hay alguna ventaja entre los certificados nacionales y los certificados establecidos en el extranjero? ¿Qué acciones realiza la marca del certificado CA nacional en términos de promoción internacional?
Cui Jiuqiang : En los últimos años, el país ha estado abogando por la "localización". Como una de las primeras organizaciones de CA en China, Shanghai CA ha estado invirtiendo mucha energía en la investigación y el desarrollo de certificados nacionales.
En la actualidad, la cuota de mercado de los certificados establecidos en el extranjero es muy alta, pero las ventajas de los certificados nacionales también son evidentes. Creo que la ventaja más destacada es la autonomía y la capacidad de control . Desde el nivel de algoritmo, se utiliza el algoritmo secreto nacional, y se adopta el despliegue del sistema de equipo doméstico a nivel de operación, todos los cuales también están dentro del territorio. Para los usuarios, la experiencia intuitiva significa que no se ve afectada por la situación y las políticas internacionales , y es más estable de usar.
Como se mencionó anteriormente, hemos implantado el certificado raíz del algoritmo nacional en los principales navegadores nacionales como 360, Qi Anxin, Red Lotus y Athlon. Al implementar certificados de algoritmo dual, la aplicación de secretos nacionales ha alcanzado la etapa práctica en términos de sitios web Al mismo tiempo, también hemos completado la adaptación de sistemas de aplicaciones nacionales como Tongxin, Kirin y China Electronics Cloud pks. Sobre la base de acelerar la aplicación y promoción de algoritmos criptográficos nacionales, es compatible con los requisitos ambientales de la Red de Internet.
También está el tema de la seguridad de los datos que preocupa a todos. Los datos de solicitud de certificados puramente nacionales se enfrentan directamente con las CA nacionales, lo que significa que la información del cliente y los datos de auditoría no necesitan exportarse , lo que garantiza aún más la seguridad del usuario. datos. En términos de servicios de localización, los certificados nacionales también están más familiarizados con el mercado nacional y las capacidades de personalización son más flexibles.
De hecho, en términos de promoción internacional, las marcas nacionales certificadas por CA han estado tomando medidas activamente. Podemos ver que algunas instituciones CA nacionales se están uniendo activamente al foro internacional CA/B y participando en la formulación de estándares internacionales . Han establecido relaciones de cooperación con fabricantes de navegadores y fabricantes de equipos terminales de renombre internacional para mejorar la credibilidad y la tasa de uso de sus certificados SSL en el mercado internacional. Al mismo tiempo, también cooperamos con algunas empresas internacionales de renombre , y hay muchos casos de clientes exitosos. También hay algunas instituciones CA nacionales que han establecido sucursales en el extranjero para expandir aún más sus negocios internacionales.
Es gratificante que los certificados SSL domésticos estén recibiendo cada vez más atención y demanda en el mercado internacional. Las marcas nacionales de certificados de CA están promoviendo activamente el desarrollo internacional de varias maneras, con la esperanza de lograr un mayor éxito en el mercado internacional. Sin embargo, la promoción de las marcas certificadas nacionales en el mercado internacional aún tiene un largo camino por recorrer y se necesita más tiempo y esfuerzo.
11
Zhao Jiuzhou : La mayoría de los diez principales proveedores de certificados SSL en el mundo son proveedores de servicios de Internet y en la nube, incluidos Cloudflare, Amazon, Google, Microsoft, etc., y hay muy pocas instituciones de CA. Si los usuarios pueden obtener directamente los servicios de encriptación https del sitio web de los proveedores de servicios en la nube, ya no acudirán a CA para solicitar certificados SSL. ¿Cómo ve esos cambios en el mercado? ¿Le preocupa que los proveedores de servicios de nube e Internet se lleven el pastel y que el espacio de mercado para las instituciones de CA sea cada vez más estrecho?
Cui Jiuqiang : De hecho, este es un cambio de mercado digno de atención. De hecho, la competencia en el mercado siempre ha sido un proceso de cambio constante, y el mercado de certificados SSL no es una excepción. Con el crecimiento de Internet y los proveedores de servicios en la nube, su cuota de mercado en el mercado de certificados SSL está aumentando, mientras que la cuota de mercado de las instituciones CA tradicionales disminuye en consecuencia. Esta es una tendencia inevitable del mercado, pero no creo que signifique que las instituciones de CA perderán espacio en el mercado .
Con el desarrollo de tecnologías como la computación en la nube y el Internet de las cosas, los proveedores de servicios en la nube y de Internet están desempeñando un papel cada vez más importante en la seguridad de la red. Para los proveedores de servicios en la nube e Internet, existen ciertas ventajas de mercado, porque tienen muchas usuarios y muchos datos .
Sin embargo, el profesionalismo y la autoridad de las instituciones de CA en la emisión y verificación de certificados no pueden ser reemplazados por proveedores de servicios de Internet y en la nube . Como autoridad emisora de certificados digitales, la organización CA tiene la neutralidad del tercero. En la industria de certificados digitales, es muy importante mantener la credibilidad y autoridad de la institución CA. Las instituciones de CA deben establecer estándares sólidos de revisión de crédito, monitorear y controlar estrictamente la emisión y gestión de certificados, y adoptar tecnologías y medidas de seguridad avanzadas para garantizar la autenticidad y seguridad de los certificados digitales. Solo de esta manera los certificados digitales, como una de las garantías importantes para la verificación de la identidad digital y la seguridad de los datos, podrán ser gradualmente utilizados en diversos campos.
Al mismo tiempo, los proveedores de servicios en la nube también necesitan que las instituciones de CA les proporcionen certificados SSL para garantizar la seguridad y la credibilidad de sus servicios en la nube. Por lo tanto, creo que las instituciones de CA y los proveedores de servicios de Internet y en la nube son interdependientes en lugar de competitivos.
Como organización de servicios de certificación electrónica, las instituciones de CA tienen muchos negocios que pueden expandirse y desarrollarse además de los certificados SSL .
Tomando Shanghai CA como ejemplo, como operador profesional de servicios de confianza digital, podemos proporcionar múltiples servicios de colaboración de software y hardware . Nuestro sistema de servicio de confianza digital utiliza de manera integral tecnologías de vanguardia como blockchain, identidad digital, computación de privacidad y nueva tecnología de encriptación para crear dos capacidades de servicio centrales de identidad digital confiable y circulación de datos confiable, y brinda servicios integrales de identidad digital y servicios de acceso confiable. servicios de firma digital, plataformas de servicios informáticos confiables y servicios de seguridad de datos, y combina orgánicamente diferentes servicios de acuerdo con los requisitos de la aplicación, y brinda servicios especiales de manera flexible para cumplir con los diversos escenarios en diferentes campos, como asuntos gubernamentales, finanzas, educación y atención médica.
Creo que mientras las instituciones de CA puedan adaptarse a los cambios del mercado y satisfacer las necesidades de los usuarios de manera oportuna, aún pueden ocupar un lugar en el campo de la seguridad de la red.
12
Zhao Jiuzhou : Con el desarrollo de la nueva generación de tecnología de la información, los certificados SSL también deben combinarse con estas tecnologías. En la actualidad, Internet de las cosas está creciendo rápidamente y más de 10 mil millones de dispositivos están conectados a Internet, pero el la conciencia de seguridad es relativamente débil y el sistema aún no se ha construido. , un mecanismo seguro de confianza entre dispositivos, aplicaciones y usuarios. ¿Eres optimista sobre el mercado de IoT? ¿Cómo funcionan los certificados SSL en escenarios de IoT?
Cui Jiuqiang : Con el advenimiento de la era digital, el Internet de las cosas ha cambiado el estilo de vida y los modelos comerciales de las personas. Creo que este es un mercado muy prometedor , y soy muy optimista en este mercado porque la cantidad de dispositivos conectados en Internet de las cosas ya es muy grande, y esta cantidad sigue creciendo.
Pero al mismo tiempo, los problemas de seguridad en Internet son cada vez más graves. El Internet de las cosas involucra una gran cantidad de dispositivos y servicios operativos, como dispositivos inteligentes para el hogar, Internet de los vehículos y ciudades inteligentes, y el real- El tiempo y la fiabilidad de estos dispositivos son muy importantes . La aplicación de certificados SSL ayudará a construir un entorno de comunicación creíble y seguro y brindará seguridad para el funcionamiento confiable de Internet de las cosas.
En la actualidad, los certificados SSL han jugado un papel importante en la seguridad en escenarios de IoT. Muchos sistemas de IoT centrados en la seguridad han habilitado certificados SSL para garantizar la autenticación de identidad y el cifrado de transmisión . Con la mejora de la conciencia de seguridad, la demanda de esto aumentará. Habrá ser más y más. Los certificados SSL brindan seguridad de extremo a extremo para las conexiones de IoT, lo que garantiza comunicaciones seguras y confiables entre dispositivos.
Al mismo tiempo, también proporciona autenticación de identidad para dispositivos en Internet de las cosas , lo que puede garantizar que la comunicación entre dispositivos solo se produzca entre dispositivos autorizados, en lugar de ser suplantados por dispositivos no autorizados.
Además, los certificados SSL también pueden brindar seguridad a las aplicaciones en el Internet de las Cosas , garantizando una comunicación segura y confiable entre las aplicaciones y los dispositivos.
Con el desarrollo continuo del mercado de Internet de las cosas, creo que los certificados SSL tendrán una perspectiva de aplicación muy amplia en el mercado de Internet de las cosas, y cada vez más entornos de Internet de las cosas admitirán el desarrollo de certificados SSL. Al mismo tiempo, los certificados SSL también necesitan actualizaciones e innovaciones tecnológicas continuas para seguir el ritmo de la era digital y adaptarse a las nuevas necesidades y desafíos en los escenarios de IoT.
* Fuente de la imagen: Shanghai CA Center, Google, Lovepik
FIN
Coordinador de columna | Zhao Jiuzhou
Editor responsable | Huang Qiting Zhuang Yajie Zhang Jie
¿Qué certificado SSL estás utilizando actualmente? Como usuario, ¿qué novedades espera para los certificados SSL en el futuro? Bienvenido a compartir sus puntos de vista en el área de comentarios ~ Encienda "mirando" + deje un mensaje en el área de comentarios , Ah D seleccionará aleatoriamente un fan a las 15:00 el 31 de mayo (miércoles) y enviará una taza de café Ah D personalizada ~
"DNSPod Ten Questions" es una columna de conversación detallada lanzada por Tencent Cloud Enterprise Center. A través de cada número, se hacen diez preguntas a los invitados, lo que lleva a los lectores a pararse sobre los hombros de las élites en los campos de tecnología e Internet industrial, y pasar por alto el desarrollo de las principales industrias Tendencias e innovaciones tecnológicas de vanguardia.
El campo de los invitados a la columna se está expandiendo gradualmente, desde el círculo inicial de nombres de dominio y webmasters hasta el círculo de programadores, emprendedores e inversores. Ding Ke, vicepresidente de Tencent, Jiang Tao, presidente de CSDN, Dai Zhikang, fundador de Discuz!, Wu Lujia de Knowledge Planet, Yang Qing, vicepresidente de Tencent Security Academy y otros expertos técnicos y líderes de la industria han dejado sus ideas en esta columna.
"DNSPod Ten Questions" también es extremadamente influyente y activo en el ecosistema Tencent Cloud. Estamos en las plataformas internas de Tencent: cuenta oficial de DNSPod, cuenta oficial del servicio Tencent SME, cuenta oficial de la nube de Tencent, cuenta oficial del host de la nube de Tencent, cuenta oficial del servidor de la nube de Tencent, asistente de la nube de Tencent, Tencent Lewen, círculo de invitados del código de Tencent, plataforma Tencent KM, Tencent Cloud + Community, Tencent Cloud + University y otras plataformas han acumulado cientos de miles de atenciones. El número total de lecturas de medios como cuenta de agencia, cuenta de pingüino, cuenta de Sohu, cuenta principal, comunidad de tecnología china de código abierto, hogar de TI, InfoQ el sitio de información de la comunidad, la cuenta de la agencia de Twitter y la cuenta de la agencia de Facebook supera el millón.
En el futuro, esperamos que la influencia de esta columna cubra una audiencia más diversa y difunda ideas más correctas al mundo exterior. Los lectores pueden dejar los invitados que desean ver y las preguntas que desean hacer en el área de comentarios. Los invitamos a convertirse en los interrogadores y los voceros de la columna "DNSPod Ten Questions".
Contacto de cooperación:
▼Obtener el código QR en el fondo de la cuenta oficial
Únase al grupo de usuarios oficial de DNSPod
