如果要在客戶端/網關係統和服務端之間進行SSL加密通信,當客戶端應用(瀏覽器等)發起登錄認證、加密、簽名等請求時,服務端如何實現基於國密算法的SSL加密連接呢?如何解決國密算法的瀏覽器兼容性問題?
如何實現基於國密算法的SSL認證和加密
國密SSL協議的握手過程如下:
(1)交換Hello消息來協商密碼套件,交換隨機數,決定是否會話重用;
(2)交換必要的參數,協商預主密鑰
(3)交換證書信息,用於驗證對方
(4)使用預主密鑰和交換的隨機數生成主密鑰
(5)向記錄層提供安全參數
(6)驗證雙方計算的安全參數的一致性、握手過程的真實性和完整性
實現以上握手過程,需要客戶端(瀏覽器)和服務端都支持國密算法。雖然目前SM2/SM3/SM9算法已相繼納入國際標準體系,但要實現客戶端和服務端的廣泛兼容,仍然需要漫長的推進過程。在此期間,通過技術解決方案讓瀏覽器端、服務端都能夠支持國密算法和國密SSL證書,才能推動國密算法普及應用。
因此,在服務端實現基於國密算法的SSL認證和HTTPS加密,需要網站運營者向工信部許可的權威電子認證機構(如:沃通CA),申請符合國密標準的國密SSL證書(如: 沃通國密SSL證書),將證書部署在服務器上,並在服務器端編譯國密算法支持模塊(沃通CA提供),然後使用國密瀏覽器(如:密信國密瀏覽器)訪問已部署證書的站點,瀏覽器和服務端就能用國密算法加密傳輸數據了,完整實現國密算法SSL認證和加密的應用。爲了確保國密SSL證書的安全性,簽發國密SSL證書的CA機構,還應該提供支持國密算法的CRL/OCSP服務器,用於查詢SSL證書的有效狀態。
部署國密SSL證書的站點,如何解決瀏覽器兼容性問題?
使用國密算法SSL證書的站點,在國密瀏覽器上可以正常訪問,但由於國密算法還沒有在所有主流瀏覽器中廣泛兼容,因此一些僅支持國際算法的主流瀏覽器會對國密SSL證書報錯。爲了解決這個問題,業內沃通CA首推“雙證書部署”和“自適應瀏覽器兼容”方案,可以同時兼容國密算法瀏覽器和僅支持國際算法的瀏覽器。通過此方案,任何用戶使用任意瀏覽器都能正常訪問網站,滿足部署國密SSL證書的合規需求,同時滿足網站可用性、易用性和全球通用性要求,解決了國密SSL應用的技術障礙。
