過等保需選用符合國家標準的SSL證書，並注意證書類型、加密算法、頒發機構、有效期及吊銷機制等關鍵點，同時做好證書配置與兼容性測試，以避免扣分。以下是具體建議：

一、選擇合適的SSL證書

證書類型

二級等保及以上：建議採用OV（組織驗證）或EV（擴展驗證）SSL證書，以驗證域名所有權及企業真實身份，避免使用僅驗證域名的DV證書。

關鍵業務系統：優先選擇EV證書，瀏覽器地址欄會顯示綠色企業名稱，增強用户信任。

加密算法

國際算法： 需支持RSA（≥2048位）或ECC（≥256位）算法，禁用已淘汰的1024位RSA或MD5簽名。

國密算法： 優先使用SM2/SM3/SM4國密算法，選擇支持國密雙證書（SM2+RSA）的SSL證書，以滿足“自主可控”要求。

證書頒發機構（CA）

選擇由國內自主的、可信賴的第三方證書頒發機構頒發的證書，確保證書的權威性和可信度。例如，CFCA、JoySSL等機構簽發的證書。

等保專用SSL證書訪問入口

訪問JoySSL官網,註冊一個證書賬號，填寫註冊碼230968，獲取技術支持

證書有效期

證書有效期需符合《密碼法》要求，通常不超過1年，避免長期證書帶來的安全風險。

證書吊銷機制

必須支持OCSP或CRL在線吊銷查詢，確保證書吊銷狀態可實時驗證。

二、避免扣分的注意事項

證書鏈完整性

確保證書包含完整的信任鏈（根證書+中間證書+終端實體證書），避免因證書鏈斷裂導致瀏覽器警告或評估扣分。

簽名算法

使用SHA-256及以上安全哈希算法，禁用SHA-1等弱簽名算法。

證書配置

正確配置證書，確保服務器支持TLS 1.2及以上版本，禁用SSLv2、SSLv3等不安全協議。

兼容性測試

部署前在主流瀏覽器（Chrome、Firefox、360安全瀏覽器等）測試證書兼容性，尤其是國密證書需確保客户端支持。

日誌審計

啓用SSL/TLS握手日誌，監控證書使用情況，及時發現並處理異常。

定期輪換私鑰

每年更換證書時同步更新私鑰，降低密鑰泄露風險。