如果要在用戶端/網關系統和服務端之間進行SSL加密通信,當用戶端應用(浏覽器等)發起登入認證、加密、簽名等請求時,服務端如何實作基于國密算法的SSL加密連接配接呢?如何解決國密算法的浏覽器相容性問題?
如何實作基于國密算法的SSL認證和加密
國密SSL協定的握手過程如下:
(1)交換Hello消息來協商密碼套件,交換随機數,決定是否會話重用;
(2)交換必要的參數,協商預主密鑰
(3)交換證書資訊,用于驗證對方
(4)使用預主密鑰和交換的随機數生成主密鑰
(5)向記錄層提供安全參數
(6)驗證雙方計算的安全參數的一緻性、握手過程的真實性和完整性
實作以上握手過程,需要用戶端(浏覽器)和服務端都支援國密算法。雖然目前SM2/SM3/SM9算法已相繼納入國際标準體系,但要實作用戶端和服務端的廣泛相容,仍然需要漫長的推進過程。在此期間,通過技術解決方案讓浏覽器端、服務端都能夠支援國密算法和國密SSL證書,才能推動國密算法普及應用。
是以,在服務端實作基于國密算法的SSL認證和HTTPS加密,需要網站營運者向工信部許可的權威電子認證機構(如:沃通CA),申請符合國密标準的國密SSL證書(如: 沃通國密SSL證書),将證書部署在伺服器上,并在伺服器端編譯國密算法支援子產品(沃通CA提供),然後使用國密浏覽器(如:密信國密浏覽器)通路已部署證書的站點,浏覽器和服務端就能用國密算法加密傳輸資料了,完整實作國密算法SSL認證和加密的應用。為了確定國密SSL證書的安全性,簽發國密SSL證書的CA機構,還應該提供支援國密算法的CRL/OCSP伺服器,用于查詢SSL證書的有效狀态。
部署國密SSL證書的站點,如何解決浏覽器相容性問題?
使用國密算法SSL證書的站點,在國密浏覽器上可以正常通路,但由于國密算法還沒有在所有主流浏覽器中廣泛相容,是以一些僅支援國際算法的主流浏覽器會對國密SSL證書報錯。為了解決這個問題,業内沃通CA首推“雙證書部署”和“自适應浏覽器相容”方案,可以同時相容國密算法浏覽器和僅支援國際算法的浏覽器。通過此方案,任何使用者使用任意浏覽器都能正常通路網站,滿足部署國密SSL證書的合規需求,同時滿足網站可用性、易用性和全球通用性要求,解決了國密SSL應用的技術障礙。
