SSL证书的签发限制政策(地区等)
SSL证书的签发限制主要由国际制裁政策、国家法规以及证书颁发机构(CA)的合规要求共同决定。以下是具体受限地区和原因分析:国际制裁名单限制,国家法规限制和解决方案
一、国际制裁名单限制
大多数国际主流 CA(如 DigiCert、Sectigo、Let's Encrypt)需遵守 美国/欧盟/联合国制裁名单,以下地区通常无法签发证书:
| 地区/国家 | 限制原因 |
|---|---|
| 伊朗 | 受美国制裁(OFAC 清单) |
| 朝鲜 | 联合国及多国制裁,禁止金融和技术服务 |
| 叙利亚 | 美国制裁(支持恐怖主义名单) |
| 克里米亚地区 | 俄罗斯吞并后,国际社会不承认其合法性 |
| 古巴 | 美国长期贸易禁运(部分 CA 可能有限放宽) |
影响
- 无法申请证书:制裁地区的域名或实体无法通过国际 CA 获取证书。
- 访问限制:用户访问这些地区的 HTTPS 网站时,可能因证书缺失导致浏览器警告。
二、国家法规限制
某些国家通过法律强制要求使用 本地 CA 或 特定加密标准,间接限制国际证书的使用:
| 国家 | 法规要求 |
|---|---|
| 中国 | 境内网站需使用 国产证书(如 CFCA、上海 CA),并完成 ICP 备案 |
| 俄罗斯 | 关键行业(政府、金融)需使用 GOST 加密标准证书(如 CryptoPro) |
| 印度 | 部分政府项目强制要求本地 CA(如 eMudhra) |
| 韩国 | 金融领域需使用本国认证的证书(如 Crosscert) |
影响
- 合规性风险:使用国际证书可能违反当地法律,导致服务被屏蔽或罚款。 技术限制:某些本地证书可能不支持国际标准(如 GOST),需额外配置。
三、特殊行业限制
某些敏感行业(如军事、赌博、成人内容)的域名,可能因 CA 政策 被限制签发:
| 行业 | 限制原因 |
|---|---|
| 赌博/彩票 | 违反 CA/Browser 论坛基线要求(部分 CA 需额外审核) |
| 成人内容 | 部分 CA 拒绝签发或要求严格实名验证 |
| 暗网/非法活动 | 所有合法 CA 拒绝签发(域名通常为 .onion 或其他非法后缀) |
四、规避限制的解决方案
| 场景 | 解决方案 |
|---|---|
| 受制裁地区 | 使用本地 CA 或自签名证书(需用户手动信任,适用内部系统) |
| 需遵守国家法规 | 选择该国合规的本地 CA(如中国用 CFCA,俄罗斯用 CryptoPro) |
| 特殊行业 | 寻找接受该行业的 CA(如 Sectigo 对赌博行业有条件签发) |
五、如何验证是否受限?
- CA 公开政策:查阅 CA 官网的 制裁国家清单(如 DigiCert 制裁政策)。
- WHOIS 查询:检查域名注册信息中的国家代码(如伊朗域名
.ir可能被 CA 拦截)。 - 法律顾问:咨询目标国家/行业的合规性要求。
六、常见问题
以下是一些目前常被问到的限制地区和CA的具体制裁列表,再有特殊的公司名或域名可联系客户经理查询。
-
关于俄罗斯签发规则:
-
.ru结尾域名:只有globalsign支持发.ru域名的DV证书,其他均不支持 -
俄罗斯主体的OV证书:(域名不带
.ru字样,但是企业名称带俄罗斯)- A. Globalsign DV 支持,OV 不行
- B. CFCA 不支持
- C. Digicert 判断标准是企业注册地是否是俄罗斯
- D. Certum 不支持
- E. Sectigo 判断标准企业注册地是否是俄罗斯,企业需要单独审核
-
-
Sectigo的限制发行列表官方说明: 主要是古巴,俄罗斯,伊朗,朝鲜等国,如有变动以官网说明为准或联系客户经理查询。