国密根证书未全面预置,确实是当前国密算法普及中的核心“堵点”。这个问题根植于全球PKI体系的历史路径依赖,但它并非无解。
一、现状扫描:为什么Windows和macOS没有内置国密根证书?
根证书是安全体系的信任锚点,其预置审批周期长、门槛极高,这是全球通用操作系统的惯例。具体到国密算法,问题主要体现在两方面:
信任体系不兼容:当前被广泛承认的四大根证书库——微软、苹果、谷歌和Mozilla,其根植的信任体系多基于RSA、ECC等国际通用算法。国密SM2算法基于不同的数学原理,现有国际根证书库并不天然支持。
预置流程未打通:国密根证书若要进入这些系统,需要CA机构向微软、苹果等国际厂商提交根证书预置申请(即“入根”),并经历漫长的技术与法律合规审查。目前,仅少数CA已进入微软、谷歌、苹果的全球根证书库,远未达到全面预置的程度。
由于全球主流操作系统在底层缺乏对SM2算法的支持,国密根证书无法像国际CA的根证书那样,随系统更新自动分发。因此,普通用户在默认配置下访问国密站点,浏览器常会提示“NET::ERR_CERT_AUTHORITY_INVALID”等警告。
二、为什么这是一道必答题?
在国家信创战略框架下,国密算法的全面替换是硬性要求。政务、金融等关键信息基础设施行业被要求在规定时间内完成密码算法的国产化替换。同时,国家也发布了GM/T 0015、GB/T 38636等一系列国密算法和数字证书的技术标准,为技术实现提供了规范。
三、破局之道:当前的主流解决方案
尽管问题根深蒂固,但行业已形成成熟的解决方案:
1. 从“服务器”端入手:国密+RSA双证书部署
目前**应用最广的妥协性方案。服务器同时部署国密SM2证书和国际通用的RSA证书。支持国密的浏览器使用前者,Chrome/Firefox/Safari等浏览器则自动切换至RSA证书。此方案对用户透明,避免了兼容性问题,作为过渡期策略非常有效。
2. 从“客户端”入手:使用内置国密根证书的软件环境
这是为了从根本上解决兼容问题。在特定环境(如信创生态)下,可通过以下方式获得原生国密体验:
国产操作系统与浏览器:在统信UOS、银河麒麟等国产操作系统中,国密根证书是系统组件的“标配”。同时,360安全浏览器、奇安信可信浏览器等也已内置国密根证书库。
移动端:对于App,开发者可在应用内“打包”国密根证书,或通过MDM等企业方案统一下发。鸿蒙OS也已在其系统证书库中预置了部分主流国密根证书。
四、未来展望:前路何方?
要彻底解决国密根证书的兼容性问题,有赖于多方力量的协同与博弈:
企业侧:短期可通过“双证书”方案平滑过渡,对内的信创环境则可直接升级至支持国密的国产操作系统与浏览器。
厂商侧:微软、苹果等厂商对国密算法的态度将直接决定问题的解决进程。但推动它们全面接纳国密体系,挑战依然巨大。
监管与标准侧:国家密码管理局、工信部等相关部门的政策指引至关重要。通过法律法规强制要求关键领域采用国密,或推动国内根证书管理体系与国际接轨,有望从根源上解决问题。
