一、规范背景与目的

SSL证书作为数字证书的核心品类，是构建网络信任体系、防范数据劫持篡改、保障互联网通信安全的关键基础设施，已成为当前网络安全防护体系中不可或缺的核心组成部分。自2015年起，随着HTTPS协议的全面普及，SSL证书逐步成为互联网安全领域的主流应用，国内市场需求爆发式增长，吸引了大量从业者涌入。然而，行业高速发展的同时，也暴露出从业规范缺失、市场秩序混乱等问题，虚假宣传、误导消费、不正当竞争等行为屡有发生，严重损害了消费者权益与行业公信力。

为规范SSL证书行业经营行为，维护公平有序的市场环境，保护消费者合法权益，推动行业健康可持续发展，特制定本从业规范建议。本规范旨在严厉打击欺诈、虚假宣传、歪曲事实、骚扰营销等各类误导消费行为，倡导从业者秉持“诚信为本、信誉至上”的经营理念，以真诚服务赢得市场信任，以良好信誉保障长期效益。

二、从业主体范围与基本准则

本规范适用于所有从事SSL证书相关经营活动的市场主体，包括但不限于SSL证书生产厂家、品牌经销商、授权代理商，以及其他以任何形式售卖、销售SSL证书的个人或组织。

所有从业者必须严格遵守以下基本准则：

1.不得收集消费者个人信息或商业信息用于未经授权的销售宣传推广活动；

2.未经消费者明确书面同意或主动请求，严禁向其固定电话、移动电话等通讯设备，电脑、平板等电子终端，以及电子邮箱、网络硬盘等电子信息空间发送商业性电子信息或拨打商业性推销电话；

3.坚决杜绝任何形式的欺诈、欺骗、虚假宣传、歪曲事实、骚扰营销等误导消费行为。

三、具体从业规范条款

（一）产品宣传规范

1.虚假标识禁止：对于使用中间证书创建品牌名称的SSL证书经营者，严禁在宣传、推广、销售过程中使用“国产”“国产化”“国有”等易误导消费者的关键字，确保产品来源信息真实透明。

2.根证书信息披露：自主品牌SSL证书产品必须在产品介绍页面、参数展示模块等显著位置，明确标注根证书厂家名称；产品存在交叉信任链的，需同时提供所有相关根证书厂家的完整信息。在消费者咨询过程中，从业者必须主动、明确告知SSL证书根证书厂家名称，不得虚报、瞒报或故意模糊相关信息。

（二）交易服务规范

1.退款政策要求：所有SSL证书产品必须提供不低于25天的无理由退款服务，退款条件不得设置任何不合理限制。消费者提出退款申请后，从业者需在1-3个工作日内完成审核与退款处理，确保退款流程高效顺畅。

2.自由交易保障：SSL证书的申请、吊销、续费等环节必须充分保障消费者的自主选择权。严禁从业者编造虚假法律条文、散布不实信息、实施恐吓行为，或通过虚假宣传、虚构优惠等手段，误导消费者做出违背真实意愿的交易决策。

（三）实名认证与数据安全规范

1.实名材料收集限制：SSL证书实名认证过程中，原则上不得收集申请人的营业执照、个人身份证、护照等各类身份证明文件的电子版本或实体文件。确因业务需要必须收集相关材料的，需提前向申请人说明收集目的、使用范围与保存期限，并严格遵守数据安全保护相关法律法规。

2.国产证书特殊要求：国产SSL证书厂家若需收集实名材料，必须在材料收集页面、申请流程中以醒目方式（如加粗、弹窗提示等）增加使用说明，明确告知材料的具体用途、保存方式及销毁时限。

3.实名认证方式要求：SSL证书实名认证应坚持以无纸化在线实名方式为主，积极采用人脸识别、电子签名等便捷、安全的实名认证技术，减少实体材料流转，提升认证效率与安全性。

（四）行业信任基础与技术规范

1.受信任根证书列表：行业公认的受信任CA预设根证书官方列表为：Microsoft、Apple、Mozilla、Google。从业者在宣传产品信任度时，需以此列表为核心依据。

2.兼容性与信任说明：SSL证书预设根证书需确保在主流浏览器（IE、Microsoft Edge、Chrome、Firefox、Safari）及主流操作系统（Windows、iOS、Android、macOS）中获得信任，具体信任状态以各厂家官方网站公布的受信任根查询结果为准。

兼容性标注为99%时，需确保主流操作系统及浏览器（含历史版本）的支持率达到99%以上；

兼容性标注为100%时，需确保主流浏览器及操作系统的所有版本均能完全信任该证书。

3.国产证书判定标准：SSL证书链中的根证书是判定证书是否为国产的核心依据。可使用Myssl、Ssllab等工具进行初步检测，但检测结果仅作参考，最终判定需以浏览器访问URL时显示的根证书信息，以及本规范第八条规定的受信任根证书查询结果为准。

4.数据存储地域认定：国外品牌（CA机构）颁发的SSL证书，或使用国外根证书创建中间证书的品牌SSL证书，即使其OCSP、CRL服务使用中国域名、中国CDN网络或其他代理协议，但若CA机构服务器不在中国境内，仍不属于数据在中国国内存储的范畴，其服务本质仍属于国外网络服务。

5.国内资源认定标准：证书链中根证书、中间证书、服务器证书的OCSP、CRL服务若宣称使用中国国内资源，必须同时满足两个条件：一是CA机构服务器位于中国境内；二是CA机构在中国境内具有合法注册的法定主体单位。

（五）产品参数与资质规范

1.核心参数明确要求：SSL证书参数规范必须明确包含以下核心信息：SSL证书品牌、根证书名称、证书类型、验证方式、签发速度、保额、加密算法。

2.通用参数定义：SSL证书通用参数指RSA、ECC算法所采用的统一标准服务，包括但不限于证书重新签发、续费邮件通知、安全签章服务。

3.非证书参数界定：以下内容不属于SSL证书本身的参数范畴，不得作为产品核心参数进行宣传：

协议支持类：SSL2、SSL3、TLS1.0、TLS1.2、TLS1.3、HTTP/2、HSTS、CAA、会话恢复、PCI DSS、OCSP装订、期望CT、预防降级攻击、正向保密、新型TLS配置等；

环境支持类：云防护、WAF、VPN、负载均衡、WIFI等安全设备，以及Tomcat、Nginx、IIS、Apache、Aliyun等服务器环境；

其他因部署环境不同而产生的配置结果差异，均不属于SSL证书本身的参数范围。

4.非资质情形说明：以下证书或认证不属于SSL证书的核心服务资质，不得作为SSL证书产品的资质进行宣传：商标注册证、国家高新技术企业证书、档案管理等级证书、国家信息安全测评证书、信息系统网络安全审计证书、软件企业认证证书、软件著作权证书、专利证书、管理体系认证证书、信息安全服务资质认证证书、行业协会认证证书、公益性组织认证证书、信用代码认证证书、网络系统安全等级保护备案证明等。

（六）国产SSL证书厂家资质要求

国产SSL证书厂家需满足以下资质条件：

1.对于RSA算法、ECC算法的SSL证书产品，必须拥有中国根证书，通过WebTrust国际认证，并成为证书颁发机构浏览器论坛（CA/Browser Forum）正式成员；

2.对于采用中国国密算法的SSL证书产品，必须取得工业和信息化部颁发的《电子认证服务许可证》、国家密码管理局颁发的《电子认证服务使用密码许可证》、国家密码管理局颁发的《电子政务电子认证服务机构资质证书》。

（七）行业竞争与合规规范

1.反不正当竞争：从业者需严格遵守《网络反不正当竞争暂行规定》，自觉维护市场竞争秩序，不得实施混淆、虚假宣传、商业诋毁等不正当竞争行为，共同促进行业持续健康发展。

2.禁止商业贿赂：严禁通过任何形式向交易对方单位或个人行贿，包括但不限于回扣、满额送礼品、礼金、消费卡、抽奖等变相行贿行为，严格依照《关于禁止商业贿赂行为的暂行规定》规范经营行为。

3.产品选择引导：原厂SSL证书厂家使用相同或交叉同一个根证书信任来源发布的DV、OV、EV证书，不得因中间证书名称不同而区分产品优劣。从业者应引导消费者以同一根证书下的同类低价产品为选择标准，例如AAA根证书创建的SecTrust、EcoTrust中间证书产品，若EcoTrust价格更低，应主动引导用户选择EcoTrust产品，倡导理性消费。

4.验证类型规范：SSL证书产品验证类型必须严格按照证书颁发机构浏览器论坛（CA/Browser Forum）公布的标准执行，即Domain Validation (DV)、Organizational Validation (OV)、Extended Validation (EV)三类。严禁任何个人或组织夸大宣传、发布虚假类型及规格，如“高档版”“专业版”“高级版”“Plus版”“Pro版”“加密版”“升级版”“信安版”“快速版”等非标准表述。同时需明确告知消费者，SSL证书验证类型与加密算法安全等级无关，引导其根据自身经济情况量力而行。

四、违规处理与规范施行

1.违规责任追究：违反本规范相关条款，接受本规范的一方应将其违规行为向社会公开披露；涉及违法违规的，任何单位或个人均可向相关监管部门举报投诉；消费者合法权益受到侵害且通过协商、调解等方式无法解决时，可依法向人民法院提起诉讼。

2.规范施行时间：本建议自2025年9月22日起公布施行，2025年11月14日进行首次修正，后续如有修正，以最新版本为准。