首页 > CEO博客

零信技术,双算法SSL证书自动化领导者2026年2月4日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

昨天,零信技术发布了证书自动化重磅产品—免费国密ACME公共服务和开源国密ACME客户端,一上线就收到的大量的关注。至此,零信技术终于正式完成了全系列双算法SSL证书自动化产品,历时4年多鼎力打造。本文讲一讲这些产品是如何打造出来的,分别服务哪些用户群,各自又有何独家特色,非常值得正在评估双算法SSL证书自动化解决方案的用户阅读并收藏。

双算法SSL证书自动化

一、 国际SSL证书自动化的成功经验非常值得学习和借鉴

国际SSL证书自动化之路始于2015年底由Mozilla牵头发起的Let’s Encrypt (简称LE) 免费SSL证书自动化公共服务,火于2019年3月发布了RFC 8555 ACME国际标准之后,普及于国际云平台大厂的全面支持,特别是CDN厂商Cloudflare的率先默认免费支持SSL证书自动化配置使用。

这就是国际SSL证书自动化的发展历程,更是国际SSL证书自动化之路的成功经验,非常值得我国学习和借鉴。更具体一点,总结以下3点:

  • 有牵头单位,领头羊,这个牵头单位是浏览器厂商

    只有这样,才能让大家坚信这事能成,才能吸引更多的志同道合者参与,因为SSL证书是否可用取决于浏览器是否信任,浏览器才是主宰者。国际SSL证书自动化的领头羊是火狐浏览器的业主—Mozilla,并专门为此项目成立了一个独立的非盈利机构ISRG。随后,谷歌浏览器鼎力支持,并也推出了自己的免费SSL证书自动化公共服务-GTS。

    为何证书自动化这事是由浏览器发起,而不是CA机构呢?一方面这是要革CA的命,不可能由CA发起,很少有人愿意自己革自己的命。而浏览器是SSL证书消费者,早就不满意CA机构的不作为,这就是为何笔者连续多年参加了十几次 CA/浏览器论坛 国际会议时只听到浏览器厂商的喋喋不休和CA们的默不做声的原因。Let’s Encrypt和GTS的推出,就是要革CA的命,他们成功了,取得了全球SSL证书市场第一和第二的地位,分别占49%和14%的市场份额。

  • 有国际标准,标准制定单位当然必须是领头者

    LE从2015年底推出免费SSL证书自动化公共服务,到2018年就已经成为了全球第一大CA,可见用户是何等的喜欢证书自动化和免费SSL证书。因为全球用户已苦人工管理证书太久了—长达20多年,一旦有人提供证书自动化服务,那就是星星之火即刻燎原!

    值得敬佩的是:LE已经火到了全球第一市场份额,但是并没有独家享受这个成功成果,也并没有申请什么专利保护,而是基于自己的丰富的证书自动化实践经验联合相关单位共同制定了RFC8555 ACME国际标准,让全球业界都可以依据这个标准来普及SSL证书自动化。这个标准的制定是全球普及SSL证书自动化的根本,其结果是现在90%以上的SSL证书都是自动化签发和部署的。制定标准功不可没!

  • 有生态支持,必须有SSL证书生态各方的共同参与

    有了国际标准,大家就可以依据标准来实现各种云服务的SSL证书自动化了。率先实现SSL证书自动化的是国际云服务大厂,如亚马逊云、微软云、谷歌云等,还有CDN服务商,如Cloudflare、Akamai、Fastly等,还有网安厂商,如思科、F5、Citrix等。有意思的是:全球第一、第二、第三大CA机构并没有积极参与,甚至极力阻止缩短SSL证书有效期国际标准的落地。云厂商和CDN厂商只好从CA机构定制中级根证书并利用CA机构传统API实现证书自动化签发,这使得CA机构的市场份额从原先的第1和第2位降到了现在第5和第8位。

    也就是说,与SSL证书应用生态相关的各方共同依据标准来为用户提供各种云服务、网络设备的证书自动化服务,这样才能实现SSL证书从2016年的2亿多张增长到现在13亿多张,其中LE从2015年底的零开始到现在6亿多张。这就是全生态支持证书自动化的威力。

二、 我国SSL证书自动化之路注定不同于国际证书自动化之路

我国SSL证书自动化之路当然必须借鉴国际证书自动化之路,但又有不同,相同的是也必须有一样的3个实现路径,不同的是必须是双算法SSL证书同时实现自动化,并且Web服务器还得改造支持国密算法。同样可以总结以下3点:

  • 同样必须有牵头单位,这个牵头单位是浏览器厂商、CA机构或云平台厂商

    对比国际SSL证书自动化之路是由浏览器厂商牵头的,国密证书自动化之路的确也是浏览器厂商—零信技术率先提出双算法SSL证书自动化相关产品和解决方案。鉴于我国的特殊市场情况,如果是CA机构或云平台厂商牵头,可能更容易普及国密SSL证书自动化。

  • 同样必须有标准,国密标准,标准制定单位当然必须是领头者

    对比国际SSL证书自动化之路的成功经验是制定标准,但是ACME国际标准只能解决国际算法SSL证书自动化问题,无法解决我国的双证书自动化难题。所幸的是:国家密码行业标准化技术委员会于2023年批准了由零信技术牵头联合多家CA机构和互联网公司立项制定《自动化证书管理规范》密码行业标准GM/T,估计今年能完成标准发布工作。

  • 同样必须有生态支持,有国密SSL证书生态各方的共同参与

    对比国际SSL证书自动化之路的成功经验是全生态相关厂商的积极参与,国密SSL证书自动化就没有这么幸运,虽然早就参考国际ACME标准发布了国密ACME标准草案,但是到目前为止仅零信技术全系列产品支持,这是我国普及国密SSL证书自动化的最大问题—缺乏全生态支持。

    我国应该参考国际SSL证书自动化生态,各大云平台、各CDN服务商、各CA机构、各网安厂商都应该积极参与国密SSL证书自动化生态建设中,为用户提供双算法SSL证书自动化服务。只有这样才能真正普及国密SSL证书来保障我国网空安全。

三、 零信技术成功打造完整的全栈SSL证书自动化生态体系

零信技术从成立开始就定位为密码应用自动化技术提供商,首个解决方案就是双算法SSL证书自动化解决方案,历时4年多已经成功打造了三位一体、端云融合的全栈SSL证书自动化生态体系,满足不同用户的双算法SSL证书自动化需求。

第一个解决方案是参考国际SSL证书自动化的解决方案,基于国密ACME客户端的开源赋能方案,不仅提供开源国密ACME客户端软件,同时提供完全免费的国密ACME证书公共服务。不仅让用户可以免费使用双算法SSL证书自动化服务,而且让有开发能力的用户基于国密ACME公共服务实现各种业务系统和各种设备的双算法SSL证书自动化。零信技术从一个技术提供者脱变为SSL证书自动化生态的构建者和标准落地应用推动者。

SSL证书自动化生态体系

第二个解决方案是参考国际SSL证书自动化生态中云厂商和CDN服务商的经验,为国内CDN服务提供基于CDN API的“补丁式”双算法SSL证书自动化服务和与CDN厂商深度合作提供“原生融合”方案。这是最经济的实现SSL证书自动化规模化落地应用的最佳解决方案,避免了数百万互联网业务主体为证书自动化改造而“重复造轮子”,将证书自动化能力变成一项普惠服务。零信技术从一个技术提供者脱变为一个销售“永续安全状态”的互联网安全服务提供商和标准落地应用推动者。

第三个解决方案是参考国际SSL证书自动化生态中网安厂商的经验,为政府、金融等关键信息基础设施单位打造了一个硬件产品—零信HTTPS加密自动化网关,这是一个软硬件一体化的SSL证书自动化管理中台,它超越了简单的证书自动化管理,深度融合国际密码和国密算法硬件加速、后量子密码算法的平滑迁移能力、WAF防护能力,以及多站点、多设备的集群化SSL证书统一管控能力。不仅可以为Web服务器提供双算法SSL证书自动化服务,而且还可以为其他需要SSL证书的网络设备和CDN/WAF云服务提供双算法SSL证书自动化服务。零信技术不仅是在实践SSL证书生态的全面自动化,更在参与定义未来关键信息基础设施的安全架构规范。

SSL证书全生命周期自动化运维模块

四、 唯有证书自动化才能真正保障网络安全和数据安全

零信技术通过端云一体技术路线,成功实现了SSL证书自动化的三大技术方案:ACME证书公共服务和客户端开源赋能、CDN服务的API方式和原生融合、硬件网关的纵深守护和全局管控,共同构成了零信技术问鼎SSL证书自动化领导地位的坚实基座。

唯有证书自动化才能顺利完成国密改造和后量子密码迁移,才能真正保障我国网络安全和数据安全。零信技术通过“三位一体”SSL证书自动化解决方案的扎实推进,必将在这场由自动化驱动的深刻密码技术革命中,成为SSL证书自动化市场的领导者,更将成为密码应用自动化时代的定义者与引路者。零信技术正在引领一个全栈可信、全程自动、全域智能的数字新时代。