是時(shí)候給用戶說(shuō)清楚SSL證書(shū)在進(jìn)入自動(dòng)化管理時(shí)代如何選型的話題了，本文絕對(duì)值得銀行和政府等高端用戶認(rèn)真閱讀和收藏，因?yàn)檫@不僅僅是花對(duì)錢(qián)的問(wèn)題，更是一個(gè)關(guān)心加密性能和可靠加密的用戶最需要關(guān)注的問(wèn)題。本文意在幫助SSL證書(shū)用戶去恐、解惑、釋疑(去FUD)，認(rèn)清SSL證書(shū)的選型誤區(qū)，在SSL證書(shū)自動(dòng)化時(shí)代不再糾結(jié)證書(shū)類(lèi)型，科學(xué)評(píng)估并正確選擇SSL證書(shū)自動(dòng)化管理解決方案。

深入了解三種SSL證書(shū)類(lèi)型的不同 — OV/DV/EV

SSL證書(shū)在1994年發(fā)明時(shí)并沒(méi)有分三種類(lèi)型，當(dāng)時(shí)的SSL證書(shū)就是現(xiàn)在的OV SSL證書(shū)，證書(shū)主題中有O字段就是SSL證書(shū)用戶的單位名稱(chēng)，這是數(shù)字證書(shū)應(yīng)有的特征，因?yàn)閿?shù)字證書(shū)是實(shí)體單位的數(shù)字身份證明文件，當(dāng)然必須有單位名稱(chēng)。OV就是單位身份驗(yàn)證Organization Validated的縮寫(xiě)，目前全球SSL證書(shū)市場(chǎng)OV SSL證書(shū)簽發(fā)量占比10.29%。

也正是由于OV SSL證書(shū)需要CA完成證書(shū)申請(qǐng)單位的身份鑒證，所以需要幾天時(shí)間才能簽發(fā)，特別是早期沒(méi)有公共可信數(shù)據(jù)庫(kù)可查，全部需要紙質(zhì)材料的郵寄送達(dá)才能處理證書(shū)申請(qǐng)，導(dǎo)致了用戶需要等待1-2周才能拿到證書(shū)。而隨著互聯(lián)網(wǎng)的快速發(fā)展，各行各業(yè)都啟用了互聯(lián)網(wǎng)應(yīng)用，都需要SSL證書(shū)，但是都忍受不了漫長(zhǎng)的簽發(fā)時(shí)間。于是，市場(chǎng)上就出現(xiàn)了GeoTrust的DV SSL證書(shū)—QuickSSL，這是GeoTrust發(fā)明的只要求用戶完成域名控制權(quán)驗(yàn)證就自動(dòng)簽發(fā)證書(shū)，讓GeoTrust很快就成為了全球第二大CA，占領(lǐng)20%市場(chǎng)份額，最后被當(dāng)時(shí)的全球CA老大VeriSign收購(gòu)。

DV SSL證書(shū)的主題中沒(méi)有O字段，只有CN字段，也就是只有網(wǎng)站域名，因?yàn)镃A只驗(yàn)證了網(wǎng)站域名，沒(méi)有驗(yàn)證單位身份。這符合CA的證書(shū)簽發(fā)原則—驗(yàn)證了什么就顯示什么。DV就是Domain Validated的縮寫(xiě)，意思就是僅驗(yàn)證了域名控制權(quán)。目前全球SSL證書(shū)市場(chǎng)DV SSL證書(shū)簽發(fā)量占比90%。

DV SSL證書(shū)由于簽發(fā)快，并且由于可以實(shí)現(xiàn)自動(dòng)化簽發(fā)，所以比OV SSL證書(shū)便宜不少，使得DV SSL證書(shū)大受歡迎。但是新問(wèn)題來(lái)了，網(wǎng)站部署了OV SSL證書(shū)和DV SSL證書(shū)都只是顯示加密鎖標(biāo)識(shí)，沒(méi)有什么不同，CA/瀏覽器論壇就提出了一個(gè)改進(jìn)方案—推出了瀏覽器顯示綠色地址欄和單位名稱(chēng)的EV SSL證書(shū)，以示區(qū)分OV SSL證書(shū)和DV SSL證書(shū)。

當(dāng)然，證書(shū)主題信息也增加了公司注冊(cè)號(hào)和注冊(cè)地信息，CA必須更加嚴(yán)格地驗(yàn)證EV SSL證書(shū)的身份信息，就是Extended Validation (擴(kuò)展驗(yàn)證)，簡(jiǎn)稱(chēng)為EV。這就是DV/OV/EV SSL證書(shū)的不同，就是證書(shū)主題信息不同，CA驗(yàn)證證書(shū)申請(qǐng)單位的身份嚴(yán)格程度不同，瀏覽器地址欄對(duì)部署了EV SSL證書(shū)的網(wǎng)站顯示為綠色地址欄。

但是，2019年9月谷歌瀏覽器發(fā)布了Chrome 77版本，不再顯示EV SSL證書(shū)為綠色地址欄，隨后火狐瀏覽器和其他瀏覽器也同步跟進(jìn)，所有瀏覽器都不再顯示EV SSL證書(shū)為綠色地址欄。這是導(dǎo)致目前全球SSL證書(shū)市場(chǎng)EV SSL證書(shū)簽發(fā)量?jī)H占比 0.03% 的主要原因，現(xiàn)在基本上只有銀行才會(huì)申請(qǐng)EV SSL證書(shū)了。

現(xiàn)在，谷歌瀏覽器對(duì)所有類(lèi)型SSL證書(shū)都只顯示tune標(biāo)識(shí)，其理由是：SSL證書(shū)是用于HTTPS加密的，其實(shí)所有類(lèi)型的SSL證書(shū)的加密強(qiáng)度和安全性能都是一樣的，OV SSL證書(shū)和EV SSL證書(shū)不會(huì)給用戶帶來(lái)更多的價(jià)值。筆者作為已經(jīng)從事了21年CA業(yè)務(wù)的老CA人，雖然不太能接受這個(gè)觀點(diǎn)，但是現(xiàn)在從一個(gè)瀏覽器廠商的角度來(lái)看，也許谷歌是對(duì)的，谷歌是站在用戶的利益來(lái)考慮的，而不是站在CA的利益角度。

HTTPS加密強(qiáng)度和安全性能與SSL證書(shū)類(lèi)型無(wú)關(guān)，與正確部署有關(guān)

谷歌認(rèn)為“所有類(lèi)型的SSL證書(shū)的加密強(qiáng)度和安全性能都是一樣的”是否正確呢？我們還是用谷歌瀏覽器分別訪問(wèn)3個(gè)部署了DV/OV/EV SSL證書(shū)的銀行網(wǎng)站來(lái)做一個(gè)比較。如下圖所示，第一張截圖來(lái)自工行官網(wǎng)，部署的是全球最貴的EV SSL證書(shū)Secure Site Pro EV，HTTPS加密所采用的加密算法是AES_128_GCM。第二張截圖來(lái)自建行官網(wǎng)，部署的是全球最貴的OV SSL證書(shū)Secure Site Pro，可以看出HTTPS加密所采用的加密算法是AES_256_GCM，稍微懂一點(diǎn)密碼學(xué)的讀者一看128和256就應(yīng)該知道建行的加密強(qiáng)度更高，但證書(shū)是OV SSL證書(shū)，比工行的EV SSL證書(shū)便宜不少。再看看第三張截圖來(lái)自長(zhǎng)安銀行官網(wǎng)，部署的是最便宜的DV SSL證書(shū)，HTTPS加密所采用加密算法也是AES_128_GCM，加密強(qiáng)度同工行最貴的EV SSL證書(shū)一樣！這里還需要特別指出的是：建行官網(wǎng)網(wǎng)頁(yè)設(shè)計(jì)有不安全的表單和其他不安全資源，這個(gè)與SSL證書(shū)類(lèi)型無(wú)關(guān)，需要改進(jìn)頁(yè)面設(shè)計(jì)。

相信大家已經(jīng)從上面的截圖充分理解了HTTPS加密強(qiáng)度與SSL證書(shū)類(lèi)型無(wú)關(guān)，HTTPS加密安全其實(shí)只與SSL證書(shū)的正確部署有直接關(guān)系，使用權(quán)威的SSL證書(shū)部署體檢工具 Qualys SSL TEST 體檢發(fā)現(xiàn)：工行官網(wǎng)打分為B級(jí)(及格)，因?yàn)闆](méi)有關(guān)閉不安全的TLS 1.0和TLS 1.1協(xié)議，并且沒(méi)有關(guān)閉不安全的CBC密鑰套件(AES_128_CBC)。建行官網(wǎng)打分也是B級(jí)，因?yàn)椴粌H沒(méi)有關(guān)閉不安全的TLS 1.0和TLS 1.1協(xié)議，不支持TLS 1.3，不支持安全協(xié)商協(xié)議，并且也沒(méi)有關(guān)閉不安全的CBC密鑰套件(AES_128_CBC)。而部署了DV SSL證書(shū)的長(zhǎng)安銀行官網(wǎng)體檢打分是 A-，僅有一個(gè)小問(wèn)題：不支持TLS1.3。這個(gè)權(quán)威的體檢結(jié)果也有力地證明了HTTPS加密安全與SSL證書(shū)類(lèi)型無(wú)關(guān)，只與正確部署有關(guān)。筆者在此強(qiáng)烈建議所有SSL證書(shū)用戶都對(duì)自己的網(wǎng)站做一次SSL證書(shū)部署體檢，發(fā)現(xiàn)部署問(wèn)題及時(shí)修復(fù)，一般只需關(guān)閉某些不安全的協(xié)議即可。

筆者在這里順便給SSL證書(shū)用戶講清楚另一個(gè)相關(guān)的問(wèn)題，那就是部署通配符證書(shū)和多域名證書(shū)也是不安全的，因?yàn)檫@兩種SSL證書(shū)都是一張證書(shū)一個(gè)密鑰在多臺(tái)服務(wù)器上共用。一旦某臺(tái)服務(wù)器被黑、或由于管理不善而導(dǎo)致私鑰泄露、或CA簽發(fā)錯(cuò)誤，則SSL證書(shū)必須吊銷(xiāo)而重新簽發(fā)，必須重新在多臺(tái)服務(wù)器上去部署證書(shū)，這個(gè)維護(hù)工作量遠(yuǎn)大于證書(shū)的費(fèi)用，這是得不償失的證書(shū)采購(gòu)決策失誤和證書(shū)部署不當(dāng)。微軟云SSL證書(shū)部署要求通配符證書(shū)和多域名證書(shū)僅限于在一臺(tái)物理服務(wù)器中的多個(gè)網(wǎng)站使用，也就是證書(shū)私鑰不跨物理服務(wù)器使用，這個(gè)非常值得所有SSL證書(shū)用戶學(xué)習(xí)。

要想提高HTTPS加密強(qiáng)度和效率，必須選用ECC算法和SM2算法SSL證書(shū)

上一段落講清楚了HTTPS加密強(qiáng)度和安全性能與SSL證書(shū)類(lèi)型無(wú)關(guān)，DV/OV/EV SSL證書(shū)都能實(shí)現(xiàn)用戶所需的加密強(qiáng)度，只需用戶在Web服務(wù)器或網(wǎng)關(guān)上正確配置加密套件和其他參數(shù)即可。本部分則講一講用戶如果真想提高加密強(qiáng)度和效率應(yīng)該怎么做。

ECC算法大家都應(yīng)該不陌生，因?yàn)镾M2算法就是ECC算法，只不過(guò)SM2算法選用了不同的橢圓曲線參數(shù)。為什么要用ECC算法呢？賽門(mén)鐵克早在十幾年前就做了研究，Apache服務(wù)器部署256位的ECC算法SSL證書(shū)對(duì)比部署同等加密強(qiáng)度的3072位RSA算法SSL證書(shū)，Web服務(wù)器對(duì)ECC算法的響應(yīng)速度是RSA算法的18倍！也就是說(shuō)，用戶訪問(wèn)一個(gè)部署了ECC算法SSL證書(shū)的網(wǎng)站只需要1秒，而訪問(wèn)一個(gè)部署了RSA算法SSL證書(shū)的網(wǎng)站則需要18秒！賽門(mén)鐵克當(dāng)時(shí)的實(shí)驗(yàn)用的Apache和IIS服務(wù)器軟件，現(xiàn)在流行用Nginx服務(wù)器軟件，性能差距一定更大。

現(xiàn)在銀行常用的SSL證書(shū)是RSA算法2048位證書(shū)，而ECC算法常用的是256位，其加密強(qiáng)度相當(dāng)于RSA算法3072位，也就是說(shuō)，部署ECC算法SSL證書(shū)比部署RSA算法SSL證書(shū)的加密強(qiáng)度更高，加密效率更高，不僅用戶有更好的訪問(wèn)體驗(yàn)，更重要的是用戶省電和機(jī)房也省電，同時(shí)還節(jié)省帶寬。采用ECC算法SSL證書(shū)實(shí)現(xiàn)每次SSL證書(shū)的握手能節(jié)省1.5K帶寬，對(duì)于一個(gè)日訪問(wèn)量高達(dá)1000萬(wàn)次的網(wǎng)站，每天可節(jié)省15G帶寬費(fèi)用的。工行有一張綁定了97個(gè)域名的EV SSL證書(shū)，證書(shū)文件比單域名證書(shū)將近大一倍，是ECC算法單域名證書(shū)的3倍，再加上中級(jí)根證書(shū)文件也比ECC中級(jí)根證書(shū)大將近一倍，僅SSL協(xié)議握手增加的數(shù)據(jù)大小不同這一項(xiàng)對(duì)比，采用ECC算法SSL證書(shū)比采用RSA算法SSL證書(shū)要至少節(jié)省三分之一的機(jī)房帶寬費(fèi)用，這是一筆可觀的節(jié)省機(jī)房運(yùn)維費(fèi)用的技術(shù)改進(jìn)，非常值得普及推廣。從這個(gè)角度來(lái)講，也能證明選購(gòu)多域名證書(shū)也是一個(gè)錯(cuò)誤的選擇，因?yàn)槎嘤蛎C書(shū)文件必須單域名證書(shū)文件大了不少。

所以，真正能提高HTTPS加密強(qiáng)度的是改進(jìn)密碼算法，改用ECC算法和SM2算法SSL證書(shū)，這就是為何我國(guó)商用密碼算法采用ECC算法而不是RSA算法的根本原因，也是目前各大國(guó)際互聯(lián)網(wǎng)巨頭官網(wǎng)都紛紛采用ECC算法SSL證書(shū)的根本原因，加密強(qiáng)度高、響應(yīng)快、省流量、省電、環(huán)保、省錢(qián)。

但請(qǐng)注意：目前市場(chǎng)上的ECC算法SSL證書(shū)有兩種，一種是從頂級(jí)根、中級(jí)根到用戶證書(shū)都是ECC算法的全鏈ECC算法SSL證書(shū)，另一種是只有中級(jí)根和用戶證書(shū)才是ECC算法的SSL證書(shū)，或者只有用戶證書(shū)才是ECC算法，這三種情況雖然HTTPS加密性能是一樣的，但是SSL握手流量是不一樣的，并且差別很大。同時(shí)，還要注意的是ECC算法根證書(shū)是否足夠老，越老的根證書(shū)通用性越好。如下左圖所示，谷歌官網(wǎng)部署的是ECC算法SSL證書(shū)，但中級(jí)根和頂級(jí)根仍然是RSA算法證書(shū)。

關(guān)于SSL證書(shū)品牌的選擇，多供應(yīng)商才是關(guān)鍵

采購(gòu)任何產(chǎn)品選擇大品牌或第一品牌是一個(gè)明智的選擇，如果不用考慮經(jīng)費(fèi)有限的話。但是，選購(gòu)SSL證書(shū)就不適用這個(gè)常規(guī)選擇，因?yàn)镾SL證書(shū)供應(yīng)鏈非常不穩(wěn)定。SSL證書(shū)這個(gè)產(chǎn)品非常脆弱，其價(jià)值完全取決于四大瀏覽器特別是已經(jīng)占領(lǐng)70%全球市場(chǎng)份額的谷歌瀏覽器是否信任。

俗話說(shuō)“槍打出頭鳥(niǎo)”，這是古人的智慧，在SSL證書(shū)市場(chǎng)非常適用。全球第一大CA-賽門(mén)鐵克于2017年12月所有旗下品牌SSL證書(shū)都遭遇谷歌瀏覽器不信任，曾經(jīng)的全球第二大CA-Entrust所有品牌SSL證書(shū)在去年12月遭遇谷歌瀏覽器不信任，本月31日谷歌瀏覽器不再信任臺(tái)灣第一大CA-中華電信CA的SSL證書(shū)。相信所有銀行用戶都應(yīng)該還記得當(dāng)時(shí)緊急替換賽門(mén)鐵克SSL證書(shū)的通宵達(dá)旦加班的痛苦，全球兩百多萬(wàn)個(gè)賽門(mén)鐵克SSL證書(shū)用戶都應(yīng)該記得那個(gè)至暗時(shí)刻。

所以說(shuō)，選擇SSL證書(shū)品牌不能只選擇第一品牌，明智的選擇還是“不把雞蛋放在一個(gè)籃子里”，應(yīng)該同時(shí)選擇多家CA不同品牌的SSL證書(shū)，不要只認(rèn)一家CA機(jī)構(gòu)，關(guān)鍵系統(tǒng)域名應(yīng)該選用多家CA機(jī)構(gòu)的SSL證書(shū)，這樣才不會(huì)出現(xiàn)一旦某個(gè)CA出問(wèn)題了，需要手忙腳亂去重新申請(qǐng)SSL證書(shū)。因?yàn)檎l(shuí)也無(wú)法保證，明天太陽(yáng)出來(lái)時(shí)，又是哪一個(gè)倒霉的CA被谷歌瀏覽器不信任了。

但是，如果是傳統(tǒng)人工部署方式，這個(gè)多供應(yīng)商策略不僅增加了SSL證書(shū)采購(gòu)費(fèi)用，也只是稍微緩解了SSL證書(shū)斷供隱患，并沒(méi)有解決被惡意吊銷(xiāo)問(wèn)題，更沒(méi)有解決仍然需要人工申請(qǐng)和部署才能不影響業(yè)務(wù)系統(tǒng)的HTTPS加密難題。只有實(shí)現(xiàn)了SSL證書(shū)自動(dòng)化管理，并且能自動(dòng)切換SSL證書(shū)供應(yīng)鏈，才能真正保障SSL證書(shū)供應(yīng)安全。

SSL證書(shū)自動(dòng)化時(shí)代，最佳雙算法SSL證書(shū)選型是國(guó)際DV+國(guó)密OV

隨著5月16日逐步縮短SSL證書(shū)有效期的國(guó)際標(biāo)準(zhǔn)的落地，SSL證書(shū)強(qiáng)制進(jìn)入自動(dòng)化管理時(shí)代，這是所有網(wǎng)站特別大型機(jī)構(gòu)面臨的緊急難題，如工行就已經(jīng)申請(qǐng)了7百多張國(guó)際SSL證書(shū)，其他銀行也不少。SSL證書(shū)有效期將縮短為47天，有多個(gè)網(wǎng)站系統(tǒng)需要部署SSL證書(shū)的單位必須現(xiàn)在就開(kāi)始規(guī)劃SSL證書(shū)自動(dòng)化管理解決方案了，SSL證書(shū)選型也就面臨新的選擇問(wèn)題。

在人工申請(qǐng)SSL證書(shū)和人工部署SSL證書(shū)時(shí)代，如果單位經(jīng)費(fèi)充足，申請(qǐng)OV SSL證書(shū)和EV SSL證書(shū)能讓專(zhuān)業(yè)用戶看到證書(shū)主題中有單位名稱(chēng)，這是唯一的優(yōu)點(diǎn)，并不存在加密強(qiáng)度更高的虛假宣傳特點(diǎn)。但是，現(xiàn)在已經(jīng)進(jìn)入SSL證書(shū)自動(dòng)化時(shí)代，必須實(shí)現(xiàn)SSL證書(shū)的自動(dòng)化申請(qǐng)、自動(dòng)化完成驗(yàn)證、自動(dòng)化簽發(fā)和自動(dòng)化部署。而我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位必須實(shí)現(xiàn)雙算法(SM2/RSA)SSL證書(shū)的自動(dòng)化管理。

而要想實(shí)現(xiàn)SSL證書(shū)的自動(dòng)化管理，也只有DV SSL證書(shū)能承擔(dān)此重任了，因?yàn)橹挥蠨V SSL證書(shū)才能實(shí)現(xiàn)自動(dòng)化文件驗(yàn)證后自動(dòng)化實(shí)時(shí)簽發(fā)，這樣即使將來(lái)進(jìn)一步縮短SSL證書(shū)有效期，哪怕是縮短為一天，也不是問(wèn)題。所以，SSL證書(shū)自動(dòng)化管理解決方案的最佳方案是自動(dòng)化簽發(fā)DV SSL證書(shū)，而不是OV/EV SSL證書(shū)，當(dāng)然也正是因?yàn)镠TTPS加密強(qiáng)度與SSL證書(shū)類(lèi)型無(wú)關(guān)，所以用戶無(wú)需擔(dān)心會(huì)影響網(wǎng)站安全性能，美國(guó)政府官網(wǎng)部署的就是自動(dòng)化更新的免費(fèi)DV SSL證書(shū)。

對(duì)于必須滿足國(guó)密合規(guī)和全球信任的要求的網(wǎng)站，需要自動(dòng)化配置雙算法SSL證書(shū)，國(guó)際SSL證書(shū)當(dāng)然只需配置DV SSL證書(shū)即可，這樣不僅能實(shí)現(xiàn)自動(dòng)化簽發(fā)和自動(dòng)化部署，還能滿足這些關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)站的運(yùn)營(yíng)單位的身份鑒證數(shù)據(jù)不出境的要求，因?yàn)镈V SSL證書(shū)無(wú)需證書(shū)申請(qǐng)單位提供任何身份證明材料。自動(dòng)化配置的國(guó)密SSL證書(shū)當(dāng)然也是首推DV SSL證書(shū)，以便無(wú)需CA審核而自動(dòng)化完成國(guó)密SSL證書(shū)的申請(qǐng)、驗(yàn)證和部署。

評(píng)估SSL證書(shū)自動(dòng)化管理解決方案時(shí)還需要考慮什么？

SSL證書(shū)從人工管理到自動(dòng)化管理，這是2026年3月15日即將到來(lái)的一次HTTPS加密技術(shù)革命，是每個(gè)網(wǎng)站運(yùn)營(yíng)者必須要做的升級(jí)改造工作。而這次技術(shù)革命的最終目的還是為了應(yīng)對(duì)下一個(gè)將于2029年12月31日到來(lái)的HTTPS加密從傳統(tǒng)密碼到抗量子密碼的技術(shù)革命，這次技術(shù)革命也要求所有網(wǎng)站運(yùn)營(yíng)者必須升級(jí)改造系統(tǒng)以支持后量子密碼。

所以，所有網(wǎng)站運(yùn)營(yíng)者在規(guī)劃本次SSL證書(shū)自動(dòng)化管理解決方案時(shí)應(yīng)該同時(shí)考慮下一步3年內(nèi)還要做的技術(shù)改造—支持后量子密碼，最佳解決方案是本次SSL證書(shū)自動(dòng)化管理升級(jí)改造能同時(shí)完成下一次的HTTPS加密抗量子密碼技術(shù)改造，從而節(jié)省兩次的改造費(fèi)用，確保業(yè)務(wù)系統(tǒng)能無(wú)縫升級(jí)到抗量子密碼時(shí)代，輕松應(yīng)對(duì)現(xiàn)在和將來(lái)的HTTPS加密安全威脅。

請(qǐng)大家看一個(gè)Visa官網(wǎng)的證書(shū)部署案例，如下左圖所示，其官網(wǎng)已經(jīng)實(shí)現(xiàn)了后量子密碼(ML-KEM768)混合密鑰封裝機(jī)制的HTTPS加密，而部署的SSL證書(shū)就是一張ECC算法的DV SSL證書(shū)，如下右圖所示，而不是國(guó)內(nèi)銀行普遍使用的RSA算法EV SSL證書(shū)。這才是最安全的部署方案，完全符合筆者在上面列出的SSL證書(shū)類(lèi)型選型和SSL證書(shū)自動(dòng)化解決方案選型的全部要求，值得國(guó)內(nèi)銀行借鑒和學(xué)習(xí)。

SSL證書(shū)自動(dòng)化時(shí)代，不選證書(shū)類(lèi)型，只選SSL證書(shū)自動(dòng)化管理解決方案

SSL證書(shū)是一個(gè)實(shí)現(xiàn)HTTPS加密所必需的產(chǎn)品，現(xiàn)在已經(jīng)進(jìn)入了SSL證書(shū)自動(dòng)化時(shí)代，標(biāo)志著人工選購(gòu)和人工部署SSL證書(shū)的時(shí)代已經(jīng)結(jié)束，進(jìn)入了一個(gè)只需選擇SSL證書(shū)自動(dòng)化管理解決方案的時(shí)代，所以本證書(shū)選型寶典也是對(duì)上一個(gè)時(shí)代證書(shū)選型的總結(jié)，無(wú)論是選對(duì)了還是選錯(cuò)了都不再重要，重要的是將來(lái)的證書(shū)自動(dòng)化方案必須選對(duì)。

評(píng)估一個(gè)SSL證書(shū)自動(dòng)化管理解決方案是否適合于自己的業(yè)務(wù)系統(tǒng)，必須結(jié)合SSL證書(shū)的選型經(jīng)驗(yàn)和教訓(xùn)，從以下七個(gè)方面去綜合評(píng)估，只有評(píng)估得分90分以上才是可選的好方案。