在进行信息安全等级保护(等保)和商用密码应用安全性评估(密评)时,选择正确的HTTPS证书类型对于确保系统合规性和数据安全性至关重要。以下是在等保/密评场景下应考虑的HTTPS证书类型:
一、证书类型
1:符合标准的国产品牌SSL证书:应优先考虑使用符合国家或行业标准的SSL证书,这些证书通常采用RSA、DSA或ECC等国际认可的加密算法。同时,由于国内特定的合规要求,支持SM2、SM3、SM4等国产密码算法的国密SSL证书也是一个重要选项。
2:验证级别:
DV SSL证书(域名验证):适用于安全要求不高的场景,仅对域名所有权进行验证。但在等保和密评中,由于其安全级别较低,通常不被推荐。
OV SSL证书(组织验证):对于二级等保及以上的企业系统或网站,建议采用OV SSL证书。这种证书在颁发时会验证企业信息,如企业名称、实际地址、电话号码等,从而增强其可信性。
EV SSL证书(扩展验证):安全级别最高,适用于对安全要求极高的场景,如电子商务网站、金融行业等。在等保和密评中,如果系统或网站的安全等级要求极高,EV SSL证书是一个理想的选择。
二、证书颁发机构
应选择由国内自主的、可信赖的第三方证书颁发机构(CA)颁发的证书。这些机构颁发的证书具有更高的权威性和可信度,能够满足等保和密评的合规要求。
三、技术要求
加密算法和密钥长度:应使用强大的加密算法,如RSA、ECC等,并确保密钥长度至少为2048位或以上,以保证SSL通信的安全性。
定期更新与审核:证书和相关服务应定期更新与审核,以确保遵循最新的网络安全法律法规和最佳实践。
四:特定要求
国密算法支持:如果系统或网站需要满足特定的国密合规要求,应选择支持SM2、SM3、SM4等国产密码算法的国密SSL证书。
数据不出境:对于需要保证数据不出境的场景,应选择在国内验签、服务器在国内的证书颁发机构颁发的证书。
五:品牌推荐
JoySSL:JoySSL是由国内自主研发的HTTPS数字证书品牌,其专业版证书完全符合上述要求,支持国密算法和国际算法,验签服务器等全部署在中国境内,适合政务服务网站等高安全场景使用。此外,JoySSL还提供了全程一对一技术支持和大额优惠券等优惠活动(注册时填写注册码230916可获得)。
总结
在等保和密评中,应根据系统或网站的安全等级和需求,选择符合标准的国产品牌SSL证书,并优先考虑支持国密算法的证书。同时,根据验证级别的不同,可以选择DV、OV或EV SSL证书。在选择证书颁发机构时,应优先考虑国内自主的、可信赖的第三方机构。此外,还需关注证书的技术要求,如加密算法、密钥长度等,并定期更新与审核证书和相关服务。