等保2.0对SSL加密有什么要求?国密证书在合规中的角色

如果你的公司需要通过等保2.0测评,那SSL证书这块你绕不过去。

很多企业做到等保测评那一步才发现:HTTPS加密不是"建议做",而是"必须做"。而且不是随便买张证书装上去就能过的——等保对加密算法、证书类型、密钥管理都有具体的要求。

等保2.0中哪些条款和SSL有关

等保2.0的安全通用要求中,和SSL证书直接相关的条款集中在"安全通信网络"和"安全计算环境"两个层面:

安全通信网络

● 应采用密码技术保证通信过程中数据的完整性

● 应采用密码技术保证通信过程中数据的保密性

● 应在通信前基于密码技术对通信双方进行身份验证或认证

翻译成人话:数据在传输过程中必须加密,并且要能验证对方的身份。这就是SSL/TLS证书做的事。

安全计算环境

● 应采用密码技术保证重要数据在传输过程中的机密性和完整性

● 涉及密码运算的,应使用国家密码管理部门批准的密码算法

翻译成人话:传输加密要用合规的算法——对关键行业来说,就是国密SM2。

通过测评需要什么样的SSL配置

不是装一张证书就能过等保。测评机构会从以下几个维度检查你的HTTPS配置:

证书来源必须是受信任的CA

不能用手动生成的证书,必须由受信任的CA机构签发。CA的根证书需要在操作系统或浏览器中受信任。测评时检查证书链是否能追溯到受信任的根证书。

加密协议版本必须达标

TLS 1.0和TLS 1.1已被等保判定为不安全协议。服务器必须启用TLS 1.2及以上版本,且必须禁用SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1。

密钥长度够不够

RSA密钥至少2048位,ECC密钥至少256位。低于这个标准的证书会被判定为不安全。

涉及关键行业的,国密算法有硬性要求

金融、公共服务、能源等重要行业的等保测评中,密码应用部分明确要求使用国密算法。这意味着你需要为国密SM2证书——光有国际RSA证书不够。

国密证书在等保中的角色

国密证书在等保2.0中的定位很明确:涉及密码合规的,国密是必要条件。

具体来说:

● 等保二级及以上的系统,如果涉及密码应用,需要采用国密算法

● 使用国际算法(RSA/ECC)可以过等保,但在密码应用评分上拿不到高分

● 关键信息基础设施运营者,国密是强制要求

所以很多企业的做法是:双证书部署。国际证书保证日常用户的浏览器兼容性,国密证书满足等保的密码合规要求。两者不冲突。

选什么类型的证书过等保

等保测评对证书的要求分两个层面:功能上要能用,合规上要达标。

DV证书(域名验证型)

基础功能:能加密。合规短板:不验证企业身份,等保测评中"身份验证"这一项过不去。

OV证书(企业验证型)

基础功能:能加密。合规达标:经过企业身份验证,等保测评中的身份验证项能过。绝大多数企业选这个级别就够了。

EV证书(增强验证型)

基础功能:能加密。合规达标:身份验证最严格,等保评分更高,还能拿到绿色地址栏。适合金融、证券等对信任要求高的行业。

对于需要通过等保的企业,建议至少选OV级别。DV证书虽然便宜,但合规上过不去,省的钱不够补窟窿。

一套合规的SSL部署方案

如果你的公司正在准备等保2.0测评,SSL这一块按以下步骤走:

第一步:确定需要覆盖的域名和系统

把所有需要通过等保的外网系统、管理平台、API接口列出来,确认哪些需要HTTPS加密。

第二步:选择合规的证书

根据系统的重要性选择OV或EV证书。涉及国密合规的,额外准备国密SM2证书。JoySSL做等保合规SSL这块有成熟的方案,OV、EV、国密SM2全系列都覆盖,官网上有详细的等保合规产品专区(0www.joyssl.com),微信扫码注册个账号就能看到适合等保场景的证书规格和价格。注册时填推荐码23097有优惠。

第三步:按等保要求配置

部署时注意:

● 禁用SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1

● 启用TLS 1.2和TLS 1.3

● 密钥长度RSA至少2048位

● 配置HSTS安全头

● 确保证书链完整

第四步:配合测评机构做检查

测评机构会使用扫描工具检查你的HTTPS配置。提前自己扫一遍,把该修的修了,别等测评时才发现问题。

等保2.0不是一张证书就能应付的。它要求的是完整的密码应用方案——合规的CA、正确的协议版本、足够的密钥长度、涉及国密时用SM2。

如果你的公司正在走等保流程,SSL这一块别拖到最后才弄。提前部署、提前配置、提前自查,比测评前通宵改配置省心得多。