5月16日，國(guó)際標(biāo)準(zhǔn)組織-CA/瀏覽器論壇正式批準(zhǔn)了SC-081v3提案--縮短SSL證書有效期和驗(yàn)證數(shù)據(jù)重用期。全球信任的SSL證書有效期從明年3月15日起分三個(gè)階段由現(xiàn)在一年有效期分別縮短為200天、100天和47天，計(jì)劃最終將縮短為10天！本文講一講這個(gè)巨變對(duì)各利益相關(guān)方意味著什么，是危機(jī)還是機(jī)遇？可以說都是，就看大家如何理解和應(yīng)對(duì)這個(gè)巨變了。

為何SSL證書有效期一直在不斷縮短？對(duì)整個(gè)數(shù)字安全行業(yè)有何影響？

SSL證書從早期的5年有效期相繼縮短到3年、2年，再到1年，這個(gè)不斷的縮短有效期的核心訴求是為了保證HTTPS加密的安全，縮短證書有效期就是縮短私鑰的存活期，也就是縮短了攻擊者的攻擊時(shí)間和攻擊窗口，從而最大程度減少潛在威脅的風(fēng)險(xiǎn)，確保全球網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施保持最新狀態(tài)。

谷歌在兩年前(2023年3月3日)首次提出了要推動(dòng)SSL證書有效期從現(xiàn)在的一年縮短為90天，意在促進(jìn)生態(tài)系統(tǒng)敏捷性和輕松過渡到抗量子算法。于是，國(guó)際標(biāo)準(zhǔn)組織-CA/瀏覽器論壇開始了漫長(zhǎng)的提案討論，而蘋果公司于2024年10月10日又提出了縮短SSL證書有效期為47天的更新提案，并給出了一個(gè)分階段實(shí)施的方案：2025年9月15日縮短為200天，2026年9月15日縮短為100天，2027年4月15日縮短為47天。

這個(gè)縮短證書有效期的提案在谷歌首次提出的兩年后的2026年4月13日獲得通過，通過的提案比蘋果的提案又推遲了半年施行，推遲兩年施行47天有效期：2026年3月15日縮短為200天，2027年3月15日縮短為100天，2029年3月15日縮短為47天。這是一個(gè)各利益相關(guān)方妥協(xié)的方案，但無論如何，喊了兩年的靴子終于落下了！有用戶說終于“狼來了”。

對(duì)于數(shù)字安全行業(yè)來說，這一標(biāo)準(zhǔn)的制定代表著一個(gè)重大的轉(zhuǎn)折點(diǎn)，那就是在網(wǎng)絡(luò)威脅快速發(fā)展的時(shí)代，一年有效期的靜態(tài)安全措施已不再足夠，敏捷性和主動(dòng)風(fēng)險(xiǎn)管理必須成為現(xiàn)代安全策略的核心。CA機(jī)構(gòu)、單位安全團(tuán)隊(duì)和IT管理員都必須重新考慮這個(gè)核心點(diǎn)，確保關(guān)鍵信息基礎(chǔ)設(shè)施能夠處理增加的證書續(xù)訂節(jié)奏，保持運(yùn)營(yíng)效率和不影響業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)。

除了技術(shù)影響之外，這種轉(zhuǎn)變還反映了各行各業(yè)正在朝著安全優(yōu)先的思維方向邁進(jìn)。不愿意縮短證書有效期的觀點(diǎn)植根于便利性，但便利性不再是安全決策的主要驅(qū)動(dòng)力。47 天有效期SSL證書政策的落地，不僅僅是一項(xiàng)技術(shù)標(biāo)準(zhǔn)的制定，而是數(shù)字安全發(fā)展的方向標(biāo)，它標(biāo)志著對(duì)降低風(fēng)險(xiǎn)、提高敏捷性和促進(jìn)更具彈性的互聯(lián)網(wǎng)安全至關(guān)重要。雖然挑戰(zhàn)很大，但這一政策落地的長(zhǎng)期利益將遠(yuǎn)遠(yuǎn)超過現(xiàn)在的挑戰(zhàn)，強(qiáng)化了在萬物互聯(lián)和AI時(shí)代必須始終將安全放在首位的原則。

200天、100天、47天證書政策對(duì)用戶意味著什么？應(yīng)該如何應(yīng)對(duì)？

200天對(duì)于網(wǎng)站主，也就是SSL證書用戶來講，意味著從2026年3月15日起，如果仍然采用手動(dòng)申請(qǐng)證書和部署證書方式的話，每年必須折騰兩次！一個(gè)網(wǎng)站尚可接受，10個(gè)、100個(gè)、1000個(gè)乃至1萬個(gè)網(wǎng)站還受得了嗎？

100天對(duì)于SSL證書用戶來講，意味著從2027年3月15日起，如果仍然采用手動(dòng)申請(qǐng)證書和部署證書方式的話，每年必須折騰4次！一個(gè)網(wǎng)站都已經(jīng)比較困難了，更不說10個(gè)、100個(gè)、1000個(gè)乃至1萬個(gè)網(wǎng)站了，必須實(shí)現(xiàn)自動(dòng)化證書管理！

47天對(duì)于SSL證書用戶來講，意味著4年后必須完成所有網(wǎng)站系統(tǒng)的SSL證書自動(dòng)化管理，無論多少個(gè)網(wǎng)站，即使只管理一個(gè)網(wǎng)站，也不可能一年折騰10次！完成了SSL證書自動(dòng)化管理，到時(shí)候就可以從容應(yīng)對(duì)后續(xù)實(shí)施的10天有效期政策了。

所以，所有網(wǎng)站主必須從現(xiàn)在開始著手準(zhǔn)備實(shí)施SSL證書自動(dòng)化管理，必須開始方案規(guī)劃、方案調(diào)研和做好采購預(yù)算，必須在明年3月15日之前搞定雙算法SSL證書自動(dòng)化管理，只有這樣才能確保網(wǎng)站系統(tǒng)的不間斷可靠運(yùn)行，滿足等保、密評(píng)和相關(guān)法律法規(guī)的合規(guī)要求。

其實(shí)，這個(gè)政策對(duì)于網(wǎng)站管理員和安全管理員來講，實(shí)在是一個(gè)大利好，只要推動(dòng)SSL證書自動(dòng)化管理改造落地實(shí)施，則自己將更加輕松，無需再為每年為大量Web服務(wù)器更新SSL證書而煩惱了。特別是需要完成國(guó)密HTTPS加密改造的用戶，一勞永逸的解決方案就是微改造，只需在現(xiàn)有Web服務(wù)器前面部署國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)即可，一次投資，一次部署兩臺(tái)網(wǎng)關(guān)，可以為多達(dá)255個(gè)網(wǎng)站系統(tǒng)自動(dòng)化實(shí)現(xiàn)國(guó)密HTTPS加密和WAF防護(hù)，免費(fèi)自動(dòng)化配置提前滿足2027年規(guī)定的100天有效期雙算法SSL證書，并且是網(wǎng)關(guān)硬件系統(tǒng)和SSL證書都包用5年，5年安全無憂，不再需要關(guān)心申請(qǐng)SSL證書和部署SSL證書了。當(dāng)然，更多網(wǎng)站和更大流量的網(wǎng)站系統(tǒng)需要部署更多臺(tái)國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)。

200天、100天、47天證書政策對(duì)SSL證書服務(wù)商意味著什么？應(yīng)該如何抓住機(jī)遇？

對(duì)于SSL證書提供商，包括系統(tǒng)集成商、云服務(wù)提供商、CA機(jī)構(gòu)等等，這是一個(gè)巨大的新商機(jī)，這不再是一個(gè)銷售幾千元的SSL證書的小生意，而是一個(gè)幾十萬、幾百萬、幾千萬甚至上億元的大生意！因?yàn)樗杏脩舳夹枰瓿蛇@個(gè)升級(jí)改造，這個(gè)產(chǎn)業(yè)將是一個(gè)上千億元的大產(chǎn)業(yè)。特別是疊加我國(guó)必須完成的國(guó)密改造和IPv6改造強(qiáng)制要求，這是一個(gè)難得的一舉兩得的技術(shù)改造市場(chǎng)機(jī)會(huì)。

對(duì)于系統(tǒng)集成商，這個(gè)市場(chǎng)機(jī)會(huì)有兩種業(yè)務(wù)模式，一是代理銷售國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)，幫助用戶輕松完成國(guó)密HTTPS加密改造，完成WAF防護(hù)改造，完成IPv6改造。對(duì)于省級(jí)或者國(guó)家級(jí)政務(wù)云平臺(tái)，除了銷售HTTPS加密自動(dòng)化網(wǎng)關(guān)外，還可以銷售政務(wù)云SSL服務(wù)系統(tǒng)，幫助政府用戶實(shí)現(xiàn)自動(dòng)化從政務(wù)專用SSL中級(jí)根證書簽發(fā)政務(wù)系統(tǒng)用雙算法SSL證書，所有政務(wù)系統(tǒng)限定部署政務(wù)專用SSL證書，徹底杜絕各種SSL中間人攻擊和不受CA機(jī)構(gòu)的斷供影響。

另一種是為用戶提供SSL證書自動(dòng)化管理服務(wù)（如DigiCert Device Trust Manager證書管理服務(wù)），自己投資采購國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)，部署在用戶機(jī)房，按啟用的網(wǎng)站數(shù)量和按年收費(fèi)，收費(fèi)標(biāo)準(zhǔn)可以參考現(xiàn)在的雙算法SSL證書收費(fèi)標(biāo)準(zhǔn)。據(jù)粗略估算，這個(gè)服務(wù)模式的投資收益率大大超過銷售網(wǎng)關(guān)硬件的收益率。這個(gè)商業(yè)模式是一個(gè)雙贏方案，政務(wù)云平臺(tái)無需購置國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)，仍然按現(xiàn)在的每個(gè)網(wǎng)站購買雙算法SSL證書的費(fèi)用支付給服務(wù)商，開通多少網(wǎng)站支付多少錢，前期投入少。而服務(wù)提供商的投入不僅得到了高回報(bào)，而且無需工程師去給用戶安裝SSL證書，只需點(diǎn)擊鼠標(biāo)為用戶開通國(guó)密HTTPS加密和WAF防護(hù)服務(wù)即可。

對(duì)于商業(yè)云平臺(tái)商，必須學(xué)習(xí)谷歌云、亞馬遜云、微軟云等國(guó)際大廠的成功經(jīng)驗(yàn)，只需自建云SSL服務(wù)系統(tǒng)或直接對(duì)接天威誠(chéng)信云SSL服務(wù)系統(tǒng)，就可以快速為所有云主機(jī)用戶、CDN用戶、WAF用戶提供雙算法SSL證書自動(dòng)化管理服務(wù)，可以在云端部署多臺(tái)國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)為用戶提供國(guó)密HTTPS加密自動(dòng)化云服務(wù)。

對(duì)于CA機(jī)構(gòu)，則需要抓緊具備雙算法SSL證書的自動(dòng)化簽發(fā)能力和自動(dòng)化部署能力，不僅可以為自己的國(guó)密HTTPS加密自動(dòng)化網(wǎng)關(guān)自動(dòng)化配置雙算法SSL證書，還可以為其他網(wǎng)關(guān)廠商提供雙算法SSL證書自動(dòng)化管理服務(wù)，而不再是銷售SSL證書給用戶，而是銷售SSL證書自動(dòng)化管理解決方案。天威誠(chéng)信歷時(shí)4年打造了雙算法SSL證書簽發(fā)系統(tǒng)和自動(dòng)化管理解決方案，能助力CA機(jī)構(gòu)快速具備這兩個(gè)核心能力，以最快的方式切入SSL證書自動(dòng)化管理大市場(chǎng)。

對(duì)于相關(guān)網(wǎng)安廠商和密碼廠商，如果其相關(guān)網(wǎng)安設(shè)備和密碼設(shè)備(如網(wǎng)關(guān)和WAF)需要SSL證書，是時(shí)候擁抱SSL證書自動(dòng)化了，為用戶提供基于國(guó)密ACME標(biāo)準(zhǔn)的雙算法SSL證書自動(dòng)化管理服務(wù)。天威誠(chéng)信作為國(guó)密ACME標(biāo)準(zhǔn)制定牽頭單位，能助力網(wǎng)安廠商和密碼廠商快速實(shí)現(xiàn)其網(wǎng)安設(shè)備和密碼設(shè)備具備雙算法SSL證書的自動(dòng)化管理能力，多通道可靠地為用戶簽發(fā)全球信任的國(guó)際SSL證書和國(guó)密SSL證書，以最快的方式切入SSL證書自動(dòng)化管理大市場(chǎng)。