谷歌于2025年5月30日在其官方安全博客中宣布：7月31日之后谷歌瀏覽器139版本不再信任臺灣省中華電信CA的兩個根證書(ePKI和HiPKI)和匈牙利CA-Netlock的根證書簽發(fā)的SSL證書。所有CA機構必須居安思危，準備可行的災備應對之策，而不僅僅是堅信自己嚴格遵守相關國際標準就不會有問題。更重要的是，所有SSL證書用戶都應該在選購SSL證書時謹慎選擇SSL證書提供商，特別是政府和銀行等運行關鍵信息基礎設施系統(tǒng)的用戶，本文將提供采購決策指南供參考。

SSL證書的供應鏈存在很多不穩(wěn)定的因素

谷歌在公告中寫道：“我們建議受影響的網(wǎng)站運營者盡快合理地過渡到新的公眾信任的 CA 機構。為避免對網(wǎng)站用戶產生不利影響，必須在 2025年7月31日 之前完成證書替換工作”。目前來講，這也是用戶必須也只能這樣做的工作了。但發(fā)生這樣的事情，最大的受害者是SSL證書用戶，這對于SSL證書用戶來講是非常不公平的事情，但又是非常無奈的事情。其實，SSL證書用戶還可以有避免此類SSL證書斷供事件發(fā)生的更好選擇！

筆者不想在此評論這件事情的是非曲直，只是想一想中華電信CA為臺灣省政務網(wǎng)站和銀行網(wǎng)站簽發(fā)了3萬多張有效期內的SSL證書，這些用戶都要重新向其他CA申請新的SSL證書重新在幾萬臺服務器上部署SSL證書，這給這些關基用戶帶來了多大的痛苦，筆者感同身受。相信國內所有銀行IT人員也仍然對2017年賽門鐵克SSL證書不被信任時挑燈夜戰(zhàn)重新部署DigiCert SSL證書時的困難記憶猶新，而那次事件受影響是全球兩百多萬個網(wǎng)站，幾乎全球所有銀行網(wǎng)站和許多政府網(wǎng)站部署的都是賽門鐵克SSL證書，也就是賽門鐵克花了12.8億美元收購的VeriSign品牌SSL證書。這些已經(jīng)發(fā)生的安全事件引起了筆者深思SSL證書供應鏈安全問題。

大家千萬不要以為這是小概率事件而不重視，去年11月份，谷歌決定不再信任曾經(jīng)是全球第二大CA的Entrust CA包括旗下AffirmTrust的所有根證書，也使得全球近60萬用戶包括許多銀行和政府機構都不得不重新向接手用戶的其他CA申請和重新安裝SSL證書！兩次不信任案件僅相差半年時間，誰也不知道何時下一個遭遇不信任的是哪個倒霉的CA機構，所以，全球CA機構和所有SSL證書用戶都應該高度重視和思考這個SSL證書供應鏈安全問題。

不僅由于技術層面導致了SSL證書供應的不穩(wěn)定，而且地緣政治一樣會導致SSL證書供應鏈斷裂問題。3年前的俄烏沖突發(fā)生后，幾乎所有俄羅斯政府網(wǎng)站和銀行網(wǎng)站的SSL證書被吊銷和被斷供，這當然是極少發(fā)生的極端安全事件，但結果也是一個SSL證書供應鏈不安全的問題。

SSL證書是一個重要的IT產品，一個密碼產品，一個有多家供應商可以供貨的產品。既然是產品就有供應鏈安全問題，而SSL證書作為一個很重要的離不開的安全產品，其供應鏈存在很多不確定的因素，存在一個如果原供應商無法供貨時，用戶很難馬上選擇新的供應商給補上的問題。因為一旦SSL證書被吊銷，則網(wǎng)站馬上就無法正常訪問了。即使原SSL證書不會被吊銷，但被斷供，則需要更換供應商，需要重新向新的供應商申請SSL證書，拿到證書后還要重新部署到Web服務器上去。一個網(wǎng)站還能應付，集約化管理的政務云平臺要管理幾百個、幾千個甚至幾萬個網(wǎng)站怎么辦？這些都是網(wǎng)站管理員必須考慮的問題，特別是有很多網(wǎng)站系統(tǒng)的大型機構，因為所有業(yè)務系統(tǒng)都需要一刻也不能中斷的HTTPS加密服務。

也許有讀者朋友會說，必須選購大品牌。賽門鐵克當時就是全球第一大品牌(承接VeriSign / GeoTrust / Thawte等品牌)，一樣被“一鍋端”。Entrust曾經(jīng)是全球第二大CA，是僅比VeriSign晚4年的CA機構，一樣被“一鍋端”。選擇第一大品牌也不一定可靠，無辜的用戶該怎么辦？是否有更好的選擇？連全球第一大CA也難逃被瀏覽器不信任的厄運，全球所有CA機構是否都應該做好應急災備工作呢？

SSL證書自動化管理能大大減輕SSL證書供應不穩(wěn)定帶來的影響

為了保證HTTPS加密安全，國際標準已于5月16日發(fā)布了逐步縮短SSL證書有效期的時間表，明年3月15日縮短為200天，2027年3月15日起為100天，2029年3月15日起為47天。也就是說，從現(xiàn)在開始，用戶在選購SSL證書時還需要增加一個考量，必須選擇能提供SSL證書自動化管理解決方案的供應商，因為手動申請和部署SSL證書即將成為不可能。

目前，全球SSL證書中超過80%以上的SSL證書都已經(jīng)實現(xiàn)了自動化管理，各大云服務提供商和CA機構都已經(jīng)提供了SSL證書自動化管理服務(ACME)。試想一下，如果臺灣省中華電信CA的用戶實現(xiàn)了SSL證書自動化管理，則只需在服務器上修改ACME服務提供商的服務網(wǎng)址即可繼續(xù)享受SSL證書自動化服務，這些用戶是影響最小的，這就是實施SSL證書自動化管理的好處。

也即是說，SSL證書自動化管理能大大減輕SSL證書供應不穩(wěn)定帶來的影響。如果出現(xiàn)SSL證書提供商無法供貨或故意斷供的情況，傳統(tǒng)的人工申請SSL證書和部署SSL證書的用戶是最痛苦的，而已經(jīng)實現(xiàn)了SSL證書自動化管理的用戶就輕松多了，受影響的程度也是比較輕的。這也是谷歌在2023年3月提出的推動90天有效期SSL證書自動化時強調的理由之一：提升敏捷性和增強彈性。

作為SSL證書用戶，不要只關心證書品牌，因為選擇大品牌一樣也有可能遭遇斷供，用戶應該關心的是SSL證書提供商是否能提供SSL證書自動化管理解決方案，并加緊實施SSL證書自動化管理，這不僅能大大減輕SSL證書管理負擔，更重要的是能大大降低如果自己網(wǎng)站部署的SSL證書被無奈斷供需要重新部署新證書的工作難度，因為誰也不能保證自己正在使用的SSL證書什么時候會被斷供，SSL證書的供應鏈非常脆弱！積極擁抱SSL證書自動化才是明智選擇，也已經(jīng)成為必須選擇的技術路線。

只有實現(xiàn)SSL證書自動化管理+多通道簽發(fā)，才能真正解決SSL證書供應鏈不穩(wěn)定難題

SSL證書自動化管理非常重要，也是必選之路。當SSL證書提供出現(xiàn)斷供時，用戶只需切換到其他能提供SSL證書自動化管理的SSL證書提供商即可，但需要人工手動修改每個網(wǎng)站的ACME服務網(wǎng)址和其他參數(shù)，需要重啟ACME服務和重啟Web服務器，這個對于有成百上千上萬個網(wǎng)站需要管理的政務平臺、云平臺和大機構來講，這還是一個很大的挑戰(zhàn)，而且可能對正在運行的業(yè)務有短暫中斷。怎么辦？

也就是說，要想保障網(wǎng)站系統(tǒng)的不間斷可靠運行，僅有自動化還是不夠的，特別是有大量網(wǎng)站系統(tǒng)需要管理的大型機構，還需要能自動化切換到其他SSL證書簽發(fā)通道的解決方案。也就是說，僅有自動化證書管理也會由于SSL證書供應鏈的脆弱而變成了半自動化！全球通行的SSL證書自動化管理解決方案也其實都只是實現(xiàn)了半自動化，還是有可能因為SSL證書供應的脆弱仍然需要人工介入解決SSL證書出現(xiàn)斷供的問題。怎么辦？最佳解決方案就是多通道簽發(fā)證書+自動化切換通道+自動化證書管理，就是有多個SSL證書供應商可以為用戶網(wǎng)站自動化簽發(fā)SSL證書，并且有自動化切換簽發(fā)通道系統(tǒng)，徹底解決SSL證書供應鏈不穩(wěn)定的難題。

對于我國用戶來講，不僅僅是要解決雙算法SSL證書的自動化管理難題，還要加上多通道簽發(fā)和自動化切換簽發(fā)通道，還要解決Web服務器不支持國密算法的難題，特別是，如果Web服務器不允許安裝ACME客戶端軟件怎么辦？這些都是我國網(wǎng)站，特別是政務網(wǎng)站、銀行網(wǎng)站等有大量網(wǎng)站系統(tǒng)需要部署SSL證書和需要完成國密改造所遇到的技術難題，是否有更好的解決方案呢？

SSL證書供應鏈穩(wěn)定，保障網(wǎng)絡服務不斷