零信网关特色之二：超值-双SSL证书
2024年3月4日

笔者在《零信网关特色之一：自动化》解读了零信网关同其他网关的最大的不同，这是一个端云一体自动化实现国密HTTPS加密的创新解决方案。又有朋友问：还有什么不同吗？今天就解读第二个不同：超值-双SSL证书。这是第一个不同-“自动化”衍生出来的价值，因为只有自动化才能降低成本，给用户带来实惠。本篇详细讲解“超值”体现的哪些方面。

首先，为什么需要双SSL证书？

这是笔者在2018年“网络空间可信峰会”上首次提出的解决方案，当时称之为“双轨制”，也就是在Web服务器上同时部署国际SSL证书和国密SSL证书，实现自适应算法HTTPS加密，支持国密算法的国产浏览器使用SM2算法加密，不支持国密算法的国外浏览器使用RSA算法加密。这样既能满足全球用户访问公网网站的需求，也能满足这些网站的国密合规需要，这是一个临时的解决方案，一旦所有系统都支持国密算法了，SM2算法已经在全球范围可以同RSA算法平起平坐了，那就不再需要部署双SSL证书，只需用户按需部署一种算法的SSL证书即可，就像现在的网站可以选择部署RSA算法或ECC算法SSL证书一样。但这个过程估计比较漫长，RSA算法SSL证书从1994年发明到现在的全面应用已经整整30年了，SM2算法SSL证书要想取得与其平起平坐的地位，估计至少还需要20年，所以，在此之前只能是部署双算法双SSL证书。

其次，网站需要什么样的双SSL证书？

目前国际SSL证书都是支持证书透明，这是为了保障SSL证书的自身安全可信，保障用户的权益不会被恶意签发证书或者错误签发证书伤害。从2013年开始，所有国际SSL证书都是支持证书透明的。所以，给网站配置的国密SSL证书也必须支持证书透明，但是由于国际证书透明系统不支持国密SSL证书，所以，国密SSL证书必须也只能支持国密证书透明了。

零信网关自动化给用户网站配置双SSL证书都支持证书透明，国际SSL证书支持国际证书透明，国密SSL证书支持国密证书透明，双透明支持双证书安全可信。零信技术牵头制定《证书透明规范》商密标准，全球独家率先提供国密证书透明日志服务，率先签发支持国密证书透明的国密SSL证书，率先发布支持国密证书透明的国密浏览器—零信浏览器，具有得天独厚的证书透明技术领先地位。

第三，零信网关自动化部署的双SSL证书给用户带来的价值。

零信国密HTTPS加密自动化网关在用户设置网站网址后，会自动连接零信会SSL服务系统，自动化完成证书申请、域名验证、自动化部署签发的支持双证书透明的双算法SSL证书(SM2算法SSL证书和ECC算法SSL证书)，自动化实现HTTPS加密，支持国密算法和国密证书透明的零信浏览器会优先采用国密算法实现国密HTTPS加密，不支持国密算法和国密证书透明的其他浏览器会采用ECC算法实现HTTPS加密。为何是ECC算法SSL证书而不是RSA算法SSL证书，因为ECC算法比RSA算法快18倍，节省网关算力和电力，能为用户提供更快的HTTPS加密连接，也能节省用户电脑和手机的算力和电量。

零信网关自动化配置的双SSL证书的国际SSL证书由全球信任的最老的ECC根证书-Sectigo ECC为零信技术定制的ECC算法中级根证书签发，是全球唯一的全链采用ECC算法的ECC SSL证书，其他CA包括谷歌等签发的ECC SSL证书都是从RSA根证书签发，并非全链ECC算法。而自动配置的国密SSL证书则是由贵州CA国密根证书签发，不仅国密合规，而且率先支持国密证书透明。也就是说：双SSL证书能满足密评和等保合规的严格要求，不仅全球信任而且国密合规。

零信网关不仅硬件保用5年，有故障直接换新的，而且是保证5年为最多255个网站自动化提供双SSL证书(国密OV SSL证书和国际DV SSL证书)，按照证签官网价格是4888元/年，那这个5年255张双证书的价值就是623万元(=4888*5*255)。这就是零信网关给用户带来的超值，大大节省用户购买SSL证书的成本。

这个双SSL证书的超值已经被一个朋友发现了商机，他计划投资网关部署在政务云平台和IDC机房，用户不用买网关，哪个网站需要国密改造，需要实现国密HTTPS加密，在网关上设置网站域名一分钟搞定，不卖SSL证书，不用养工程师给用户安装SSL证书，直接卖HTTPS加密服务，提供HTTPS加密国密改造服务。他预计有8倍的投资回报，即投资100万元，能收回800万元，这绝对是一个非常好的投资项目。笔者很为这位朋友的商业模式创新高兴，也为自己的优秀产品能让朋友赚到钱而高兴。