等保2.0对SSL证书配置的硬性要求,核心是强制使用强加密算法并优先采用国密算法。其规定比PCI DSS更具体,并与“密评”要求结合,形成了中国特有的合规体系。主要要求如下:
要求维度 等保2.0 具体规定
加密强度 二级及以上系统,SSL证书应使用强大的加密算法和至少2048位的密钥长度,通常推荐256位加密。
算法要求 必须优先采用符合国家标准的密码算法,如SM2、SM3、SM4等国密算法。也可兼容使用RSA、ECC等国际算法。
核心目的 采用密码技术保证通信传输过程中数据的完整性和保密性,建立安全通道。
关联评估 第三级及以上信息系统需通过“商用密码应用安全性评估”,其中明确要求使用国密算法实现SSL/TLS通信加密和身份认证。
核心要求详解与合规建议
1. 关于国密算法强制性与“双算法”方案
合规驱动:等保2.0和《密码法》都要求优先使用国密算法,尤其是在政务、金融、关键信息基础设施领域。例如,三级以上系统必须通过密评,其SSL/TLS需采用国密算法。
现实兼容方案:考虑到浏览器兼容性,业内普遍采用 “双算法SSL证书” 方案。这种证书同时包含国际算法和国密算法两套密钥对,服务器可根据客户端环境自动协商使用,确保合规的同时不影响国际用户访问。
2. 实现步骤建议
定级与评估:首先明确系统等级。如果系统为三级或以上,就必须规划完整的国密算法改造以通过密评。
选择合规证书:从通过国家密码管理局认证的机构,申请符合国密标准GM/T 0024-2014的SSL证书。如需兼顾兼容,可选择“双算法证书”。
部署与配置:在服务器上部署证书,并确保TLS协议关闭不安全的旧版本(如SSLv2、SSLv3、TLS 1.0/1.1),这与PCI DSS要求一致。
开启HSTS:配置HSTS,强制浏览器使用HTTPS连接,提升安全性。
3. 与PCI DSS要求的对比
等保2.0与PCI DSS在禁用弱协议、使用强加密的理念上一致,但最大区别在于:
算法偏好:PCI DSS无算法国籍要求;等保2.0强制优先使用国密算法。
评估体系:等保2.0与密评深度绑定,合规不仅限于配置检查,更强调密码技术的合规性、正确性和有效性评估。
如果你能知道的信息系统具体属于哪个行业(如政务、金融)以及目前所处的等保级别,我可以为你提供更具针对性的部署和合规建议。
