“国产根SSL证书”指的是由中国本土的证书颁发机构(CA)签发,并且其根证书本身也由中国机构自主掌控的SSL证书。它的核心特征是“根证书由中国机构持有并运营”,而非依赖国外CA的根证书。
✅ 关键理解点
| 项目 | 国产根SSL证书 | 非国产根SSL证书 |
|---|---|---|
| 根证书归属 | 中国CA机构自主签发并控制 | 国外CA机构(如DigiCert、Sectigo) |
| 算法支持 | 通常支持国密算法(SM2/SM3/SM4) | 多使用RSA/ECC等国际算法 |
| 信任链 | 根证书内置在中国操作系统/浏览器中 | 根证书内置于全球主流浏览器 |
| 合规性 | 符合中国《密码法》《网络安全法》要求 | 不一定满足国密合规 |
| 数据控制 | 审核、签发、吊销全程国内完成,数据不出境 | 需将审核数据提交至国外CA |
| 兼容性 | 对老旧浏览器或国际浏览器兼容性有限 | 全球浏览器普遍信任 |
✅ 中国目前真正拥有“国产根”的SSL证书机构
截至目前,中国大陆唯一被广泛认可为拥有完全自主国产根的SSL证书机构是:
- CFCA(中国金融认证中心)
⚠️ 注意:市面上很多所谓“国产SSL证书”只是国内CA机构使用国外根证书(如DigiCert、Sectigo)签发,不属于国产根SSL证书,只能算“国产代理”或“国产中间证书”。
✅ 如何识别是否为国产根SSL证书?
- 打开网站 → 点击地址栏小锁图标 → 查看证书 → 查看“证书路径”;
- 查看根证书颁发者是否为中国机构(如 CFCA Root CA);
- 查看根证书主题字段是否包含
C=CN(代表国家为中国)。
✅ 总结一句话
国产根SSL证书 = 由中国CA机构签发 + 根证书由中国掌控 + 支持国密算法 + 数据不出境 + 满足国家合规要求。
