等保2.0对SSL加密有什么要求?国密证书在合规中的角色

等保2.0对SSL加密有什么要求?国密证书在合规中的角色 如果你的公司需要通过等保2.0测评那SSL证书这块你绕不过去。很多企业做到等保测评那一步才发现HTTPS加密不是建议做而是必须做。而且不是随便买张证书装上去就能过的——等保对加密算法、证书类型、密钥管理都有具体的要求。等保2.0中哪些条款和SSL有关等保2.0的安全通用要求中和SSL证书直接相关的条款集中在安全通信网络和安全计算环境两个层面安全通信网络● 应采用密码技术保证通信过程中数据的完整性● 应采用密码技术保证通信过程中数据的保密性● 应在通信前基于密码技术对通信双方进行身份验证或认证翻译成人话数据在传输过程中必须加密并且要能验证对方的身份。这就是SSL/TLS证书做的事。安全计算环境● 应采用密码技术保证重要数据在传输过程中的机密性和完整性● 涉及密码运算的应使用国家密码管理部门批准的密码算法翻译成人话传输加密要用合规的算法——对关键行业来说就是国密SM2。通过测评需要什么样的SSL配置不是装一张证书就能过等保。测评机构会从以下几个维度检查你的HTTPS配置证书来源必须是受信任的CA不能用手动生成的证书必须由受信任的CA机构签发。CA的根证书需要在操作系统或浏览器中受信任。测评时检查证书链是否能追溯到受信任的根证书。加密协议版本必须达标TLS 1.0和TLS 1.1已被等保判定为不安全协议。服务器必须启用TLS 1.2及以上版本且必须禁用SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1。密钥长度够不够RSA密钥至少2048位ECC密钥至少256位。低于这个标准的证书会被判定为不安全。涉及关键行业的国密算法有硬性要求金融、公共服务、能源等重要行业的等保测评中密码应用部分明确要求使用国密算法。这意味着你需要为国密SM2证书——光有国际RSA证书不够。国密证书在等保中的角色国密证书在等保2.0中的定位很明确涉及密码合规的国密是必要条件。具体来说● 等保二级及以上的系统如果涉及密码应用需要采用国密算法● 使用国际算法RSA/ECC可以过等保但在密码应用评分上拿不到高分● 关键信息基础设施运营者国密是强制要求所以很多企业的做法是双证书部署。国际证书保证日常用户的浏览器兼容性国密证书满足等保的密码合规要求。两者不冲突。选什么类型的证书过等保等保测评对证书的要求分两个层面功能上要能用合规上要达标。DV证书域名验证型基础功能能加密。合规短板不验证企业身份等保测评中身份验证这一项过不去。OV证书企业验证型基础功能能加密。合规达标经过企业身份验证等保测评中的身份验证项能过。绝大多数企业选这个级别就够了。EV证书增强验证型基础功能能加密。合规达标身份验证最严格等保评分更高还能拿到绿色地址栏。适合金融、证券等对信任要求高的行业。对于需要通过等保的企业建议至少选OV级别。DV证书虽然便宜但合规上过不去省的钱不够补窟窿。一套合规的SSL部署方案如果你的公司正在准备等保2.0测评SSL这一块按以下步骤走第一步确定需要覆盖的域名和系统把所有需要通过等保的外网系统、管理平台、API接口列出来确认哪些需要HTTPS加密。第二步选择合规的证书根据系统的重要性选择OV或EV证书。涉及国密合规的额外准备国密SM2证书。JoySSL做等保合规SSL这块有成熟的方案OV、EV、国密SM2全系列都覆盖官网上有详细的等保合规产品专区0www.joyssl.com微信扫码注册个账号就能看到适合等保场景的证书规格和价格。注册时填推荐码23097有优惠。第三步按等保要求配置部署时注意● 禁用SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1● 启用TLS 1.2和TLS 1.3● 密钥长度RSA至少2048位● 配置HSTS安全头● 确保证书链完整第四步配合测评机构做检查测评机构会使用扫描工具检查你的HTTPS配置。提前自己扫一遍把该修的修了别等测评时才发现问题。等保2.0不是一张证书就能应付的。它要求的是完整的密码应用方案——合规的CA、正确的协议版本、足够的密钥长度、涉及国密时用SM2。如果你的公司正在走等保流程SSL这一块别拖到最后才弄。提前部署、提前配置、提前自查比测评前通宵改配置省心得多。