ssl|国产SSL证书“伪”国产SSL证书“套牌”

最近发现大量的用户所称，自己买到了国产SSL证书，殊不知自己花了高额的费用，既然买了一个数字证书最入门的SSL证书，但经过查看该证书并非国产，采用的是“套用品牌”的伪SSL证书，下面让大家了解一下如何识别SSL证书。
SSL证书想要被世界浏览器及操作系统信任并不简单，并且信任度99.9%，目前在中国没有一家CA机构可以做到。
目前唯一国产根证书CFCA国产证书，可以信任大部分最新版本的主流浏览器，缺点古老的浏览器都不会信任，如：安卓或者苹果手机的Android 2.3至Android 5.1、iOS 5-6至iOS 9，火狐及OS等系统不信任，这些提供会列为不信任SSL证书。
另外CFCA数字证书价格很贵，但也是稀有产品，因为在国内是唯一支持国产的SSL证书，该机构仅支持OV与EV企业级，适合企事单位采购，对浏览器信任度需求不高的用户使用。
价格建议让SSL证书授权合作伙伴签发，价格会便宜一些，申请之前提前索取CFCA授权书。

文章插图

国产SSL证书
“伪”国产SSL证书，国产“套牌”SSL证书
有的SSL证书提供商称自己有国产SSL证书，并且信任率99%。这种SSL证书会用国外厂家的根证书包装自有品牌（如图）certum是国外的SSL证书厂家采用中间证书给下级中间证书交叉链OrgTrusted Network。这种证书看起来国产，但是实质是国外的，并且销售价格还高出SSL证书厂家价格，另外通常ocsp服务器延时很高，网络存在超时、被墙。
这些交叉链都有一个共同点，都会采用厂家中间证书的下级子证书签发服务，所以中间证书的名称暴漏出原始厂家的名称，并且存在双重ocsp服务，使用该证书多处存在的双重网络延时的困难。

文章插图

ocsp服务器PING结果

文章插图

国产“套牌”SSL证书
事企单位采购如何识别是否国产SSL证书？
只需打开证书文件，查看证书路径，顶部的名称就可以看到SSL证书厂家。

文章插图

非原厂SSL证书，非国产SSL证书

文章插图

非国产SSL证书
1、如果根证书不是CFCA，那就说明不是国产SSL证书。
2、国产CA机构SSL证书还需要具备：电子认证服务许可证、电子认证服务使用密码许可证，如果没有肯定不是国产SSL证书产品了，这是一条硬性规定。

文章插图

电子认证服务许可证、电子认证服务
3、另外证书链特别长得也要注意！CA厂家直签的SSL证书都是：根证书、1个中间证书组合为主。
4、ocsp服务器查看是否在国内，是否取得ICP备案，也可以PING查询是否有国内节点。
5、如果证书路径（如图，点击打开中间证书，详情信息，授权信息访问）中间证书使用的OCSP服务器是否在国内或者是否取得ICP备案。

文章插图

厂家中间证书
【 ssl|国产SSL证书“伪”国产SSL证书“套牌”】
文章插图