国密SSL背景
中国国家密码管理局推动的国产密码算法体系(SM系列)正在逐步应用于SSL/TLS场景。金融、政务等关键信息基础设施要求使用国密算法,推动了国密SSL证书的发展。
国密算法简介
SM2
基于椭圆曲线的非对称加密算法,替代RSA和ECDSA。密钥长度256位,安全强度等同于RSA 3072位。用于数字签名、密钥交换和数据加密。
SM3
哈希算法,输出256位摘要,替代SHA-256。用于完整性验证和数字签名。
SM4
对称加密算法,128位密钥,替代AES。用于数据加密。SM4-GCM模式提供认证加密功能。
国密SSL协议
GMSSL协议基于TLS 1.1修改,使用SM2/SM3/SM4替换RSA/SHA/AES。最新的GB/T 38636-2020标准(TLCP)定义了完整的国密传输层协议。双证书体系:签名证书用于身份认证,加密证书用于密钥交换。
适配方案
服务端
使用支持国密的Web服务器:Nginx国密版(如沃通/天威诚信提供的定制版)、BabaSSL(阿里开源的国密SSL库)。配置双协议支持:优先国密协议,fallback到国际TLS。
浏览器兼容
- 原生支持:360安全浏览器、密信浏览器、红莲花浏览器
- 不支持:Chrome、Firefox、Safari、Edge(不识别国密证书)
- 解决方案:双证书部署,国密浏览器使用国密证书,国际浏览器使用RSA/ECC证书
合规要求
等保三级以上的政务和金融系统要求使用国密算法。银行网银系统、政务服务门户、电子招投标平台等是典型的强制应用场景。建议采用双证书+双协议方案,兼顾合规和兼容性。