俄罗斯政府网站和银行网站RSA算法SSL证书被吊销或断供- 大数跨境

去年2月24日发生了俄乌冲突，大量俄罗斯政府网站和银行网站的RSA算法SSL证书被吊销或断供。

3月3日Sectigo停止签发证书，3月12日DigiCert停止签发证书，其他CA也纷纷停止签发证书，停止签发证书就是“断供”，就是网站无法实现https加密了！

同时，从2月27日开始，Sectigo开始吊销已经签发的SSL证书，13天内共吊销1576张证书，DigiCert2月28日开始，共吊销了1266张证书。吊销证书就是禁用！以前已经签发给你的证书禁止使用！断供只是不再供货，而吊销则是即使供了货也不让用！

俄乌冲突给我国的安全启示是方方面面的，而在互联网安全特别是网站安全方面，RSA算法SSL证书被吊销或断供，这给我国互联网安全，特别是关键信息基础设施安全敲响了警钟，我国必须快速进入国密HTTPS加密时代，以应对非常不确定的国际形势，保障我国互联网安全。

普及国密HTTPS加密不仅仅是应对国际形势的需要，而且也是《密码法》和《网站安全法》合规的需要，也许有人认为现在的网站安全国密应用生态还不成熟，无法满足普及国密HTTPS加密的应用需求，本文就专门讲一讲这个错误认识问题。

要实现HTTPS加密，必须有CA签发SSL证书，并且必须支持证书透明，必须有浏览器信任签发SSL证书的根证书，有Web服务器支持签发这张SSL证书采用的加密算法，还必须有支持这种加密算法的浏览器可以用HTTPS加密协议实现安全的网页访问。

也就是说，只有浏览器（包括移动App）、SSL证书和Web服务器都支持国密算法，才能实现国密HTTPS加密。当然，还需要CDN和云WAF服务提供商也支持国密SSL证书和国密算法。必须是整个Web生态都支持国密算法。这个国密https加密生态现在已经成熟了，是时候普及国密HTTPS加密了！

对于国密https加密，考虑到用户体验，网站不能要求用户指定使用国密浏览器来访问，所以，最佳方案是网站部署双SSL证书（一张国密SSL证书和一张国际SSL证书），目前市场上的国密浏览器都是支持双证书自适应加密的。我国在国密https加密的技术和产品上已经准备好了！万事俱备，就差用户马上行动这一步了，必须马上行动起来，以确保所有网站在目前不确定的国际环境中的HTTPS加密安全可控，特别是政府网站和金融网站，确保即使国际SSL证书被“断供”或被“吊销”也不会影响用户正常访问网站系统。