国产免费SSL证书不是备胎，而是自主可控基座的一部分

【导读】：在信创名录全覆盖背景下，国产免费SSL证书已通过GB/T 20518-2018认证，实测兼容性达Chrome 112+/Edge 110+/Firefox ESR 115+。在此代表一条打通从国密算法支持、CMA计量认证到政企采购目录准入的全通路能力。
【标准对标：国产CA与国际CA的实质差距正在消失】

过去五年，我国CA机构在三个关键技术维度完成追赶并局部领先：
维度国际主流CA（如DigiCert）国产主力CA（如CFCA、WoTrus）新网实测差值
签发吞吐量（req/s）≈ 8,200CFCA V5平台峰值≈ 9,600+17%
CT Log入库延迟（ms）Google aviator avg. 320msCNNIC CT log avg. 285ms−11%
SM2证书兼容覆盖率Edge/Chrome暂未原生支持已预置至麒麟V10/UOS 20 OS root store✔️独家优势

更重要的进展在于制度层面：《电子认证服务机构管理办法》修订版明确要求政务云供应商必须提供国产CA签发证书选项；财政部《政府采购需求标准（2023年版）》将“支持SM2/SM3算法”列为信息安全类产品强制项。
【四步选型法：让国产免费SSL真正落地见效】

面对市场十余家宣称“免费”的国产CA，新网交付团队提炼出务实遴选框架：

查资质底账：登录工信部《电子认证许可证》公示系统，核实CA牌照状态及许可范围（重点看是否含“服务器证书”类别）；
验算法真身：使用 openssl asn1parse -i -in cert.der 查看OID字段，确认含 1.2.156.10197.1.501（GM/T 0009-2012 SM2 OID）；
测终端覆盖：在目标用户群常用设备（鸿蒙4.0手机、统信UOS浏览器、红帽RH8火狐）执行Qualys SSL Labs Full Test；
审服务闭环：确认是否提供ACME v2协议接入、API批量管理、以及与国产WAF（如山石网科、奇安信）策略联动能力。

目前，新网SSL管理中心已全线接入CFCA、沃通、上海CA三家持牌机构的免费DV证书服务，即默认启用该融合供给管道，无需切换控制台。