这是一件利国利民利全球的大事,笔者必须写篇文章好好讲一讲这事。本文先请读者看看Windows目前是如何展示商密SSL证书的,再请大家看看安装了今天发布的零信浏览器最新版本2401后,Windows是如何展示商密SSL证书的,最后会讲一讲这件事的重要意义-利国利民利全球。
Windows不支持商密算法,这个大家也能理解,毕竟不是国产操作系统,甚至大家也能心安理得地接受这个现实。笔者从2019年4月4日创立我国第一个商密SM2算法SSL根证书时就在想:如果Windows能支持商密算法,那该多好哦。5年过去了,笔者并没有看到Windows支持商密算法,点击商密SSL证书,证书查看器虽然能正常显示证书绑定域名、颁发者和证书有效期信息,但是仍然由于无法识别商密算法而显示“验证信任关系时,系统层上出现了一个错误”,如下左图所示,这个提示很准确,的确是Windows在系统层不支持商密算法。如下左图所示。点击查看证书路径,只能显示用户证书绑定的域名,不显示证书链,证书状态显示为“该证书有一个无效的数字签名”。这绝对是误报!这张商密SSL证书一定是有一个有效的数字签名,只是Windows无法验证此数字签名而已。
继续查看证书详细信息,如下左图所示,“签名算法”字段显示OID:1.2.156.10197.1.501,“公钥参数”字段也是显示OID:1.2.156.10197.1.501,而不是像RSA算法SSL证书一样显示算法名称“sha256RSA”和RSA (2048bits)。由于SM2算法也是一种椭圆曲线算法(ECC),所以,Windows能识别出商密SSL证书的公钥为ECC算法,但是由于无法识别椭圆曲线 bits,并且也能正确显示各个字节数据,如下右图所示。
2021年6月笔者重新创业,在这3年里,笔者带领研发团队努力打造了3个商用密码应用生态:商密证书透明生态、商密证书自动化管理生态、内网SSL证书应用生态,并打造了这3个生态中必不可少的核心产品,包括:零信浏览器、零信国密证书透明日志系统、零信云SSL服务系统、零信国密证书自动化服务系统、零信国密HTTPS加密自动化网关、零信国密HTTPS加密自动化云服务、证签国密SSL证书和国际SSL证书(公网SSL证书和内网SSL证书)等等。但是,最广泛使用的Windows系统不支持商密算法,无法正常显示商密SSL证书和各家CA机构签发的USB Key证书,这一直是挂在笔者心头中的一件大事。
直到零信浏览器发布了支持USB Key证书双向认证的2311版本,才触动了笔者决定研发一个Windows补丁,让Windows能支持商密算法证书验证,能像RSA算法证书一样正常展示商密算法证书,能像RSA客户端证书一样使得浏览器能弹出商密证书完成双向认证,而不是目前的各家USB Key厂商自己编程实现或者根本没有实现。
今天,零信浏览器发布了2401版本,从这个版本开始,零信浏览器在安装后会自动给Windows打补丁,使得Windows能像支持RSA/ECC算法证书一样完成证书验证和正常展示,如下左图所示,Windows能正常显示证书常规信息,不会提示验证信任关系失败。如下右图所示真实指纹浏览器,能正常显示证书路径,证书状态显示“该证书没有问题”。请注意:这是Windows在支持了商密算法后的证书查看器显示的证书验证信息,而不是零信浏览器提示的,零信浏览器在发布时就已经在浏览器内正常展示商密SSL证书了。
继续查看证书详细信息,如下左图所示,能正常显示此证书的签名算法是“SM3WithSM2”,签名哈希算法为SM3,公钥为ECC(256bits),公钥参数为SM2,全部正确。请读者朋友再使用谷歌浏览器访问零信官网,下载其ECC算法SSL证书,其证书详细信息展示如下右图所示,可以看出Window能像ECC算法一样展示SM2算法SSL证书,都是ECC (256 bits)公钥,而公钥参数则分别显示为SM2和ECDSA_P256,因为SM2算法同ECDSA_P256算法的唯一不同就是采用了不同的椭圆曲线参数。
当然,不仅仅是能展示商密SSL证书,一样可以正常展示各家CA签发的USB Key证书,如下左图所示,这是没有打补丁之前贵州CA签发的用户证书的展示,无法正常显示证书链。而在安装了零信浏览器后,如下中图所示,就能正常显示用户证书的三级证书链,正常支持用户证书的双向认证。如果用户电脑没有安装贵州CA的国密根证书,则会显示国家根为顶级根的四级证书链,如下右图所示。
零信浏览器为Windows打了商密算法支持补丁,不仅大大方便了中国用户查看SM2算法数字证书,包括SM2 SSL证书、SM2客户端证书、SM2邮件证书红圆圈指纹浏览器、SM2代码签名证书和SM2文档签名证书,更重要的是可以让Windows能像处理RSA/ECC算法数字证书一样处理SM2算法证书,充分利用Windows强大的证书应用能力来支持各种SM2算法证书应用,如最常用的双向认证。这是意义之一。
意义之二就是大大方便了全球用户认识和了解SM2算法数字证书,特别是SM2 SSL证书,因为用户如果看到一张证书Windows显示为“验证信任关系时,系统层上出现了一个错误”和“该证书有一个无效的数字签名”,第一感觉就是这张证书有问题,从而提高了警惕而不会去关注这张证书了,这不利于宣传我国的商用密码算法。
零信浏览器用户已经覆盖全球一百多个国家和地区的用户,零信浏览器这次为Windows打商密算法补丁后,全球用户不仅能在零信浏览器地址栏领略SM2算法SSL证书风采,而且下载此证书后能让Windows正常显示证书链和证书详细信息亚马逊邮件回复候鸟防关联浏览器,这非常方便了全球用户能认识和了解SM2算法SSL证书,有利于这个已经成为ISO国际标准的密码算法在全球范围的应用,让全球用户有了一个RSA算法以外的新选择,为全球互联网用户提供一个可选的中国密码算法方案,让SM2算法同RSA算法一道共同保障全球互联网安全。
零信浏览器以其卓越的性能、丰富的功能和对商密算法的全面支持,不仅赢得了中国用户的喜爱,成为了中国市场第一市场份额的商密浏览器。而且,由于全球独家支持EV认证的绿色地址栏、独家展示网站WAF防护标识、独家支持实时验证PDF文档数字签名和展示签名者可信身份、独家特别展示证书透明等特色功能,同时受到了全球上百个国家和地区用户的欢迎,全球用户数正在不断快速上升中。
