热搜词: 请输入关键字 科兴 请输入关键字-1 waitfor del if(now()=sysdate(),s 对粉笔来说,AI不再只是一个概念,
首页 > 学习

SSL证书行业从业规范建议

SSL证书作为数字证书的一种,对于网络防劫持、建立安全信任协议是目前互联网安全不可缺少的一部分。

2015年开始SSL证书形成了互联网安全主流,中国国内出现大量的SSL证书从业者。SSL证书行业从业规范一直没有得到很好的管理,为此发布SSL证书行业从业者规范建议,目的是杜绝使用:欺诈、欺骗、虚假宣传、歪曲事实、骚扰等其它错误引导消费等行为,倡导以真诚赢得信誉,用信誉保障效益。

第一条、SSL证书从业者包括厂家、经销商、代理商及其它售卖销售经营SSL证书个人或组织,未经消费者明确同意或者请求,经营者不得向消费者的固定电话、移动电话等通讯设备,电脑等电子终端或者电子邮箱、网络硬盘等电子信息空间发送商业性电子信息或者拨打商业性推销电话。

第二条、SSL证书产品使用中间证书创建的品牌名称经营者,禁止使用“国产”“国产化”“国有”相关关键字进行宣传、推广、销售。

第三条、对于自主品牌SSL证书经营者,需在产品介绍、参数展现根证书厂家名称,有交叉链的需要提供厂家名称,咨询过程中需明确告知消费者SSL证书根证书厂家,不得虚报、瞒报。

第四条、SSL证书产品不能低于25天无理由退款政策,退款申请消费者提出后需要在1-3个工作日内处理。

第五条、SSL证书实名过程中,原则上不得收集申请人的:营业执照、个人身份证、护照及其它证明身份证明的电子文件、实体文件。

第六条、国产SSL证书厂家需要收集实名材料的,需要对相应材料增加明显使用说明。

第七条、SSL证书实名认证方式坚持采取无纸化在线实名为主。

第八条、受信任CA预设根证书官方列表:微软、Apple、Android、Google。

第九条、促进行业续健康发展,根据《网络反不正当竞争暂行规定》进行执行。

第十条、严禁通过任何形式向对方单位或者个人行贿,其中包括回扣、满额送礼品、礼金、消费卡、抽奖、其它等方式,根据《关于禁止商业贿赂行为的暂行规定》。

第十一条、SSL证书参数规范应当明确:SSL证书品牌、根证书名称、证书类型、验证方式、签发速度、保额、加密算法。

第十二条、SSL证书通用参数是指RSA、ECC算法采取的统一标准包括:重新签发、续费邮件通知、安全签章。

第十三条、不属于SSL证书参数的情形:协议支持、语言支持、浏览器加密强度,以及其它网络设备及软件环境发出的参数,其中包含支持云防护、WAF、VPN、负载均衡、WIFI等安全设备,环境支持Tomcat、other、Ngninx、IIS、Apache、Aliyun,协议支持SSL2、SSL3、TLS1.0、TLS1.2、TLS1.3,HTTP/2、HSTS、CAA、会话恢复、PCIDSS、OCSP装订、期望CT、预防降级攻击、正向保密、新型的TLS配置,以及其它因部署SSL证书环境不同配置造成结果的协议与套件。

第十四条、明确国产SSL证书厂家具备条件,RSA算法、ECC算法SSL证书拥有中国根证书,通过WebTrust认证、属于证书颁发机构浏览器论坛(CA/BrowserForum)成员。中国国密算法SSL证书需要取得:《电子认证服务许可证》、《电子认证服务使用密码许可证》。

第十五条、SSL证书兼容性及根证书信任说明,预设根证书需在主流浏览器:IE、MicrosoftEdge、Chrome、Firefox、Safari,主流操作系统:Windows、iOS、Android、macOS信任,具体依照各个厂家官方网站受信任根查询结果为准。兼容性达到99%需要主流操作系统及浏览器含历史版本支持率99%。兼容性100%需要达到主流浏览器及操作系统所有版本完全信任。

第十六条、SSL证书链其中的根证书是证明SSL是否是国产证书的关键,可以使用Myssl、Ssllab或其它工具进行检测,但检测结果仅用于参考,具体根据浏览器访问URL查阅根证书以及本建议第八条根证书查询结果为准。

第十七条、国外品牌(CA机构)颁发的SSL证书、使用国外根证书创建中间证书的品牌SSL证书,显示的OCSP、CRL使用的中国域名、中国CDN网络或代理协议的,但CA机构服务器不在中国境内的,不属于数据在中国国内,仍然属于国外网络。

第十八条、证书链根证书、中间证书、服务器证书OCSP、CRL属于使用中国国内资源的CA机构服务器需要在中国境内,CA机构厂家在中国具有法定主体单位。

第十九条、原厂SSL证书厂家,使用相同或交叉同一个根证书信任来源发布的DV、OV、EV不再因中间证书名称区分好坏,而是根据同一个根证书发布的SSL证书同类低价产品为准,例如AAA根证书创建的中间证书名称:Sec、Eco,如果Eco便宜,应当引导用户选择Eco产品。

第二十条、SSL证书产品验证类型,按照国际惯例:DV、OV、EV,禁止创造或者引导非规范产品类型,例如:高档版、专业版、高级版、Plus版、Pro版、升级版、快速版。SSL证书验证类型与SSL证书加密算法安全无关,提醒申请人应当根据经济情况量力而行。

第二十一条、不属于SSL证书资质的情形:商标注册证、国家高新技术企业、档案管理等级证书、国家信息安全测评、信息系统网络安全审计、软件企业认证证书、软件著作权、专利、管理体系认证、信息安全服务资质认证、行业协会认证、公益性组织认证、信用代码认证、网络系统安全等级保护备案证明。

第二十二条、SSL证书申请、吊销、续费自由。严禁编造虚假法律条文、法规,造谣,使用恐吓等其他违法行为导致组织及自然人陷入错误认识的行为。

第二十三条、如有违反,接受建议的一方应当向社会公布其行为,存在违法、违规行为的可向相关部门举报投诉。

第二十四条、本建议自公布之日起施行,如有修正依照修正为准。