HTTPS加密技術(shù)是瀏覽器廠商N(yùn)etscape于1994年發(fā)明的，使用SSL證書實(shí)現(xiàn)從瀏覽器到服務(wù)端的數(shù)據(jù)傳輸加密。這是一個(gè)革命性的發(fā)明創(chuàng)造，使得明文HTTP互聯(lián)網(wǎng)成為了密文HTTPS互聯(lián)網(wǎng)，才使得互聯(lián)網(wǎng)有了商用價(jià)值，使得實(shí)驗(yàn)室的互聯(lián)網(wǎng)技術(shù)在全球范圍得到了普及使用，才有了今天人們已經(jīng)離不開(kāi)的互聯(lián)網(wǎng)服務(wù)。這個(gè)技術(shù)在31年后今天即將迎來(lái)一次技術(shù)革命—縮短SSL證書有效期，徹底從人工申請(qǐng)和部署SSL證書變革為自動(dòng)化申請(qǐng)和部署，這個(gè)技術(shù)革命的目的是為了迎接下一個(gè)真正的技術(shù)革命—后量子密碼HTTPS加密。兩次技術(shù)革命都需要系統(tǒng)升級(jí)改造，這是逃不過(guò)的改造，本文討論是否有可行的技術(shù)方案能把這兩次技術(shù)革命升級(jí)改造一次搞定。

SSL證書從人工管理到自動(dòng)化管理的技術(shù)革命

SSL證書從誕生到現(xiàn)在都是由瀏覽器信任的CA機(jī)構(gòu)為用戶簽發(fā)SSL證書，用戶拿到證書后手動(dòng)在Web服務(wù)器或網(wǎng)關(guān)設(shè)備上部署SSL證書，再啟用HTTPS加密，保障網(wǎng)站數(shù)據(jù)傳輸安全，這個(gè)業(yè)務(wù)流程31年了一直沒(méi)有變。但是，在萬(wàn)物互聯(lián)的今天，互聯(lián)的萬(wàn)物都需要實(shí)現(xiàn)HTTPS加密，就無(wú)法由人工來(lái)完成SSL證書申請(qǐng)和部署了，這就需要一次技術(shù)革命。

其實(shí)，這個(gè)技術(shù)革命早在2015年就開(kāi)始了，這就是由Mozilla牽頭發(fā)起Let’s Encrypt自動(dòng)化簽發(fā)和部署SSL證書，并于2019年發(fā)表了RFC 8555 自動(dòng)化證書管理環(huán)境(ACME)國(guó)際標(biāo)準(zhǔn)，在全球范圍得到了積極響應(yīng)并大量實(shí)施，目前全球11億張有效SSL證書中已有8億張SSL證書都是自動(dòng)化簽發(fā)和部署的，有力保障了全球萬(wàn)物互聯(lián)的數(shù)據(jù)傳輸安全。而在2015年全球有效SSL證書只有兩百多萬(wàn)張，十年時(shí)間SSL證書簽發(fā)量翻了550倍，這就是自動(dòng)化的威力。

既然這個(gè)技術(shù)革命早就開(kāi)始了，為何筆者又說(shuō)這次技術(shù)革命即將到來(lái)呢？因?yàn)榧词挂呀?jīng)有80%以上的HTTPS加密都已經(jīng)實(shí)現(xiàn)了SSL證書自動(dòng)化管理，但這不是強(qiáng)制項(xiàng)，人們還在習(xí)慣31年已經(jīng)形成的習(xí)慣人工申請(qǐng)和部署SSL證書，嚴(yán)重阻礙了SSL證書的普及應(yīng)用，這就需要革命！

谷歌早在2023年3月3日就發(fā)布了“Move Forward, Together”(一起面向未來(lái))的革命計(jì)劃—強(qiáng)制縮短SSL證書有效期為90天，全面擁抱SSL證書自動(dòng)化管理，這就是要革傳統(tǒng)SSL證書人工管理的命。但是，就像任何革命一定會(huì)遭遇反對(duì)一樣，這場(chǎng)技術(shù)革命遭到了CA機(jī)構(gòu)和用戶的反對(duì)，導(dǎo)致了這場(chǎng)革命直到2025年5月16日才有了成功的眉目—分步縮短SSL證書有效期的國(guó)際標(biāo)準(zhǔn)的制定，這是一個(gè)各方妥協(xié)的革命，分三步完成：2026年3月15日縮短SSL證書有效期為200天，2027年3月15日為100天，2029年3月15日為47天。

也就是說(shuō)，這次的技術(shù)革命到來(lái)時(shí)間是明年3月15日，這場(chǎng)即將到來(lái)的HTTPS加密技術(shù)革命的目的是要實(shí)現(xiàn)SSL證書自動(dòng)化管理，從傳統(tǒng)的人工管理革命為自動(dòng)化管理。這就要求SSL證書用戶采取合適的技術(shù)措施完成系統(tǒng)升級(jí)改造，實(shí)現(xiàn)SSL證書自動(dòng)化管理。而我國(guó)則需要實(shí)現(xiàn)雙算法(RSA/SM2)SSL證書的自動(dòng)化管理，同時(shí)完成系統(tǒng)國(guó)密改造以支持SM2國(guó)密算法，實(shí)現(xiàn)自適應(yīng)密碼算法的HTTPS加密自動(dòng)化。

HTTPS加密從傳統(tǒng)密碼到抗量子密碼的技術(shù)革命

為了應(yīng)對(duì)將來(lái)的量子計(jì)算可能會(huì)秒破現(xiàn)在正在使用密碼算法，需要新的抗量子密碼算法，這些算法可以保護(hù)數(shù)據(jù)免遭使用當(dāng)前傳統(tǒng)計(jì)算機(jī)和未來(lái)的量子計(jì)算機(jī)發(fā)起的攻擊。這些算法就是后量子密碼(Post-Quantum Cryptography，簡(jiǎn)稱PQC)。

盡管向后量子密碼的過(guò)渡在量子計(jì)算機(jī)問(wèn)世之前就開(kāi)始了，但仍然存在緊迫的威脅。攻擊者現(xiàn)在收集加密數(shù)據(jù)，目的是在量子技術(shù)成熟后解密數(shù)據(jù)，這就是“先收集-后解密”的安全威脅，因?yàn)樵S多機(jī)密數(shù)據(jù)的價(jià)值往往會(huì)持續(xù)多年，有些個(gè)人機(jī)密數(shù)據(jù)會(huì)伴隨人的一生，因此現(xiàn)在開(kāi)始過(guò)渡到后量子密碼，對(duì)于防止未來(lái)發(fā)生機(jī)密數(shù)據(jù)被解密至關(guān)重要。這種威脅模型是迫切過(guò)渡到后量子密碼的主要原因之一。

為此，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)于2024年11月12日發(fā)布了NIST IR 8547 《過(guò)渡到后量子密碼標(biāo)準(zhǔn)》的公開(kāi)征求意見(jiàn)草案，該報(bào)告描述了NIST從易受量子攻擊的密碼算法過(guò)渡到后量子數(shù)字簽名算法和密鑰建立方案的預(yù)期方法，確定了現(xiàn)有的易受量子攻擊的密碼標(biāo)準(zhǔn)以及信息技術(shù)產(chǎn)品和服務(wù)需要過(guò)渡到的抗量子密碼標(biāo)準(zhǔn)，旨在促進(jìn)與行業(yè)、標(biāo)準(zhǔn)組織和相關(guān)機(jī)構(gòu)的合作，以促進(jìn)和加速后量子密碼的采用。NIST列出了邁向PQC標(biāo)準(zhǔn)過(guò)渡時(shí)間表，目標(biāo)是到2035年盡可能低降低量子風(fēng)險(xiǎn)。目前正在廣泛使用的安全密碼算法RSA-2048和ECC-256將在 2030年棄用，2035年禁用，這就是傳統(tǒng)密碼算法的死期，要求業(yè)界必須提前做好所有相關(guān)系統(tǒng)和產(chǎn)品向PQC算法的遷移工作。

也就是說(shuō)，2029年12月31日之前面臨的技術(shù)革命是HTTPS加密必須遷移到抗量子密碼算法上，所有系統(tǒng)都需要升級(jí)改造支持后量子密碼HTTPS加密。這是用戶必須面對(duì)的即將到來(lái)的又一個(gè)技術(shù)革命，這個(gè)技術(shù)革命要求用戶必須升級(jí)改造現(xiàn)有系統(tǒng)以支持后量子密碼算法。

兩次技術(shù)革命需要兩次系統(tǒng)升級(jí)改造

縮短SSL證書有效期是SSL證書用戶必須面臨的一次革命，這次革命的到來(lái)時(shí)間是2026年3月15日，最終完成時(shí)間是2029年3月15日。而棄用傳統(tǒng)密碼算法啟用后量子密碼算法則又是一次SSL證書用戶面臨的革命，這次革命到來(lái)的時(shí)間是2029年12月31日，因?yàn)?030年必須棄用現(xiàn)在正在使用的密碼算法了，包括RSA-2024算法、ECC-256和SM2算法。

2026年3月15日的技術(shù)革命要求用戶提前實(shí)施SSL證書自動(dòng)化管理技術(shù)升級(jí)改造，徹底丟棄傳統(tǒng)的SSL證書人工管理。2029年12月31日的技術(shù)革命要求用戶提前實(shí)施HTTPS加密的后量子密碼支持，這也要求用戶完成系統(tǒng)升級(jí)改造。SSL證書用戶也就是所有網(wǎng)站運(yùn)營(yíng)者和管理員都必須拿出行動(dòng)計(jì)劃來(lái)盡快完成2026年的技術(shù)革命，同時(shí)還需要提前考慮如何完成2029年的技術(shù)革命，而不是只考慮2026年的技術(shù)革命，兩次革命有相關(guān)性，都是為了保障HTTPS加密安全。

兩次技術(shù)革命既然是必須的，那就選擇一次完成

正如谷歌推動(dòng)縮短SSL證書有效期是為了輕松過(guò)渡到抗量子密碼所言，既然完成兩次HTTPS加密技術(shù)革命是必須的，那就應(yīng)該在規(guī)劃第一次技術(shù)革命時(shí)想到第二次技術(shù)革命，把兩次技術(shù)革命所需要的技術(shù)改造一起規(guī)劃，選擇一次完成的先進(jìn)技術(shù)方案，而不是頭痛醫(yī)頭腳痛醫(yī)腳，只有這樣才是最節(jié)省投資和減輕升級(jí)改造負(fù)擔(dān)的最佳解決方案。

縮短SSL證書有效期的技術(shù)革命將于2026年3月15日到來(lái)，2029年3月15日結(jié)束，后量子密碼HTTPS加密的技術(shù)革命將于2029年12月31日到來(lái)，這兩場(chǎng)技術(shù)革命都是所有網(wǎng)站運(yùn)營(yíng)者必須應(yīng)對(duì)的，必須進(jìn)行改造的，選擇一次完成兩次革命才是唯一正確選擇。