SSLLabs国密检测：使用SSLLabs工具检测国密加密配置合规性

SSL  Labs  检测国密配置：能力、局限性与合规检测指南

一、SSL  Labs  国密检测能力概述

SSL  Labs  本身不支持国密算法（SM2/SM3/SM4）及国密协议（TLCP/GM/TLS）的专项检测。

SSL  Labs（SSL  Server  Test）是网络安全公司  Qualys  提供的业界权威免费在线工具，用于检测网站的  HTTPS  配置，覆盖协议版本、加密套件、证书链、OCSP  配置、HSTS  设置等数十个维度，最终给出从  F  到  A+  的综合评分。其评估引擎支持  SSL  2.0、SSL  3.0、TLS  1.0、TLS  1.1、TLS  1.2、TLS  1.3  等国际标准协议，可分析的加密套件包括常见的  ECDHE、RSA、AES-GCM、ChaCha20-Poly1305  等。

然而，SSL  Labs  的加密套件库中**不包含国密加密套件**，如  `ECC-SM2-SM4-CBC-SM3`、`ECDHE-SM2-SM4-GCM-SM3`  等，其协议检测范围也仅限于国际  TLS  协议，不覆盖国标  TLCP（GB/T  38636-2020《信息安全技术  传输层密码协议》）。

二、SSL  Labs  的局限性与合规检测误区

2.1  为什么  SSL  Labs  不能直接用于国密合规检测？

对比维度      SSL  Labs      国密合规要求    

算法类型        仅支持国际算法（RSA/ECC/AES  等）  必须使用  SM2/SM3/SM4  国密算法  

协议类型          仅支持  TLS  1.0–1.3  |  需支持  TLCP（GB/T  38636）或  GMT  0024-2014  

证书体系          检测单证书（国际  PKI）    需检测双证书体系（签名证书  +  加密证书）

CA  信任链          国际  CA  根证书库      国密  CA  根证书库（如  CFCA、GDCA  等

如果仅依赖  SSL  Labs  进行检测，即使网站已正确部署国密双证书，SSL  Labs  也只会呈现国际证书的检测结果，而完全不体现国密相关配置。这可能导致运维人员误判国密部署状态，带来合规风险。

2.2  双证书部署的特殊性

国密  SSL  体系采用双证书架构，分别持有签名证书和加密证书，服务器和用户各持有两对独立的  SM2  密钥对，签名证书的  KeyUsage  为  Digital  Signature，加密证书的  KeyUsage  为  Key  Encipherment。此外，实践中常采用  **SM2/RSA  双证书方案**：服务器同时部署国密和国际两套  SSL  证书，软件自动识别浏览器类型——国密浏览器访问时采用  SM2  算法加密，普通浏览器访问时自动切换至  RSA  算法，以解决浏览器兼容性问题。

双证书部署本身并不等同于合规，需确保两套证书均由国家密码管理局认证的  CA  机构签发，且算法组合符合国密标准要求。SSL  Labs  仅能检测其中  RSA/ECC  部分的配置，无法验证国密证书链的完整性和正确性。

三、正确的国密合规检测方法

3.1  浏览器手动验证（最简单，适合日常自查）

通过浏览器查看证书详情是最快捷的国密识别方法：

查看证书算法：点击地址栏左侧锁形图标  →  选择“证书”或“查看证书”→  在“详细信息”标签下检查“签名算法”或“公钥算法”。若显示  SM2（国密算法）、SM3  或  SM4*字样，则表明使用了国密  SSL  证书。

注意浏览器限制：国际浏览器（Chrome、Firefox、Edge）仅能通过证书详情查看算法信息，可能无法自动信任国密根证书，触发“证书不受信任”警告；国产浏览器（如  360  安全浏览器国密版、红莲花）可自动识别国密证书并可能显示“国密认证”标识。

3.2  命令行工具检测（适合技术人员精准验证）

使用  OpenSSL  或  GmSSL  命令可获取更详细的国密配置信息：

bash

#  查看证书签名算法（需先下载证书）

openssl  s_client  -connect  example.com:443  -servername  example.com

#  若输出中包含  SM2-with-SM3  或类似国密算法组合，则确认部署了国密证书

解析输出中的“Signature  Algorithm”字段，若包含  SM2、SM3  等字样则判定为国密证书。

针对纯国密协议场景，建议使用  **gmssl**  工具测试特定国密加密套件：

bash

gmssl  s_client  -connect  目标域名:443  -cipher  ECC-SM2-SM4-CBC-SM3

成功连接会显示  `Protocol:  GMSSL`  和国密加密套件信息。

3.3  专用国密在线检测平台（最全面）

目前已有针对国密协议的专用检测工具，可作为  SSL  Labs  的补充：

工具      功能      适用场景  

seehttps.com  国密证书检测          自动识别国密证书算法及支持的协议版本（如  GM/T  0024-2014）|  快速确认网站是否启用国密证书  

seehttps.com  国密协议版本检测        检测服务器  TLCP  协议支持情况      验证国密协议握手是否成功  

SSLeye  国密工具          SM2  证书解析  +  GMSSL  协议支持检测    政务/金融系统的完整国密合规检测  

铜锁  Tongsuo          专用于国密协议验证的开源工具，支持  `-ntls`  参数测试国密  SSL    开发环境深度排查  

JoySSL  在线检测          国密证书兼容性自动扫描服务      批量检测和多场景兼容性验证  

使用上述平台检测时，SSL  Labs  中未体现的国密配置信息均可在专用工具中获取。

3.4  专业密评工具（适合合规测评场景）

对于金融、能源、政务等需要过密评（商用密码应用安全性评估）的行业，需使用专业密评工具进行深度检测：

密评工具箱（炼石等）  ：以旁路方式接入目标环境，通过采集样本数据和密文分析，快速判定目标系统是否使用国密算法、使用的国密是否安全有效。

科来商用密码应用与安全评估系统：严格遵循  GM/T  0024—2014、GM/T  0022—2014  国密标准，可穿透国密  SSL/IPSec  协议全链路，提取  SM2/SM4  算法参数并验证证书链完整性。

Wireshark（配合国密解析插件）  ：抓包分析时过滤  `tls.handshake.type==1`，检查  Client  Hello  中是否包含国密套件（如  0xE013  对应  `ECC-SM2-SM4-CBC-SM3`）。若协商失败，通常表示客户端或服务端未正确启用国密协议。

四、国密合规检测的核心要素

根据等保  2.0  和密评标准要求，国密  SSL  配置合规性检测需覆盖以下维度：

检测维度      合规要求      检测方法  

算法合规性          采用  SM2（非对称）、SM3（哈希）、SM4（对称）三种国密算法组合      浏览器证书详情、专用检测平台、密评工具箱  

密钥长度          SM2  密钥长度必须为  256  位（等效  RSA-3072  位安全性）    证书解析工具查看密钥长度  

证书链完整性          根证书→中级证书→终端证书三级结构完整，根证书预置于国密浏览器信任库    GmSSL  命令  `x509  -in  证书文件.pem  -text`  查看证书详情  

协议合规性          支持  TLCP（GB/T  38636-2020）或  GMT  0024-2014  国密协议      国密协议版本检测平台、抓包分析  

加密套件合规          密码套件需包含  `ECC-SM2-SM4-CBC-SM3`  或  `ECDHE-SM2-SM4-GCM-SM3`  等国密套件  |  专用检测工具检测  +  Wireshark  抓包验证  

双证书体系          签名证书  +  加密证书分别部署，密钥用法配置正确      查看双证书链是否完整、颁发机构是否为国密  CA  

CA  可信度          证书由国家密码管理局认证的机构签发（如  CFCA、GDCA  等）  通过工信部网站查验  CA  机构《电子认证服务许可证》有效性  

密评认证        2025  年起金融、能源、政务系统强制要求国密证书通过密评认证      查阅密评机构出具的《商用密码应用安全性评估报告》  

国密双证书体系关键检测项

检测国密双证书配置时，需额外关注以下要点：

1.  证书类型区分：签名证书的  KeyUsage  字段应为  Digital  Signature；加密证书的  KeyUsage  字段应为  Key  Encipherment。两张证书使用相同的  DN，但密钥用法不同。

2.  双证书链完整性：确保签名证书链和加密证书链均完整，根证书已预置于国密浏览器的信任库中（如  360  国密版、红莲花等）。

3.  加密私钥来源验证：国密  CA  体系中，加密密钥对在  CA  端产生并通过数字信封传递给用户。部署时应验证加密私钥的获取过程合规，私钥存储于可信设备中。

4.  双证书方案兼容性：若采用  SM2+RSA  双栈方案，需确保两套证书均由合法  CA  签发，避免混合信任链漏洞导致密评不通过。

五、实操建议

日常工作流程：

1.  使用  SSL  Labs  检测国际证书部分的基本配置（协议支持、加密强度等），确保国际  TLS  配置达到  A  或  A+  等级

2.  使用浏览器证书详情查看（点击锁图标检查算法字段）快速确认国密证书是否部署成功

3.  使用  seehttps.com  等专用国密检测平台验证国密协议握手和加密套件

4.  金融、政务等场景下，由具备资质的密评机构使用**专业密评工具**进行全面合规性评估

国密合规建议：

  面向密评的场景必须使用  SM2/SM3/SM4  国密算法组合，仅支持  RSA/ECC  的国际证书无法通过密评

  优先选择由国家密码管理局认证的国内  CA  机构（如  CFCA、GDCA、沃通等）签发的国密  SSL  证书

  双证书部署时需确保签名证书和加密证书均已正确配置，并由合法  CA  签发，避免混合信任链漏洞

  定期通过专用检测工具对国密配置进行监控和验证，防止配置错误导致密评不通过

总结：SSL  Labs  无法替代国密合规检测。在实际工作中，应将  SSL  Labs  作为国际  TLS  配置的基准检测工具，同时结合浏览器证书验证、GmSSL  命令行、专用国密检测平台等多种手段，才能全面评估国密  SSL证书  配置的合规性，满足等保  2.0  和密评标准的严格要求。