法律法规对 SSL 证书的加密强度和算法有规定吗

网络安全等级保护制度

• 加密强度：等保 2.0 标准要求二级及以上等级的信息系统，其 SSL 证书应使用强大的加密算法和至少 2048 位的密钥长度，通常推荐 256 位加密，以确保 SSL 通信的安全性

• 算法要求：应优先采用符合国家标准的密码算法和协议，如国产的 SM2、SM3、SM4 等密码算法，同时兼顾兼容性，也可支持 RSA、DSA 或 ECC 等国际认可的加密算法

商用密码应用安全性评估

• 通用要求：依据《商用密码应用安全性评估管理办法》及 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，信息系统中使用的密码算法应符合法律法规的规定和密码相关国家标准、行业标准的有关要求，SSL 证书所使用的密码算法自然也需遵循此规定

• 网络通信安全要求：在网络和通信安全层面，要求采用密码技术保护通信信道传输安全，SSL 证书作为保障通信安全的重要手段，需支持规定的密码算法和协议，如国密 SSL 证书支持的 SM2/SM3/SM4 国产密码算法和国密安全协议，以实现基于国密算法的 HTTPS 协议、SSL VPN 协议等，保障通信信道的数据传输安全

关键信息基础设施安全保护条例

• 重点保护要求：关键信息基础设施运营者对其运营的关键信息基础设施，需采取更严格的安全保护措施，SSL 证书可用于对关键信息基础设施进行全面的加密和访问控制。在算法和加密强度方面，虽未明确细化规定，但从保障关键信息基础设施安全稳定运行的角度出发，应采用高强度加密算法和符合相关标准的密码算法，如国密算法等，以确保数据传输的保密性、完整性和可用性

互联网政务应用安全管理规定

• 明确要求：建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，采取技术措施保障安全，落实网络安全等级保护制度和国家密码应用管理要求 。中央和国家机关、地市级以上地方党政机关门户网站等，应当符合网络安全等级保护第三级安全保护要求，这意味着其使用的 SSL 证书需满足相应等级保护的加密强度和算法要求

• 鼓励应用国密技术：该规定鼓励应用商用密码技术，兼顾国密算法合规性要求和全球通用性需求，采用如 RSA+SM2 双算法 SSL 证书模式等，可根据客户端环境智能识别、自动协商并匹配适用算法，实现国密算法与国际算法的无缝切换，保障政务数据传输安全