对策研究 | 谷歌要革全球CA的命，怎么办？2023年3月14日

谷歌在3月3日发布了最新的可信根认证计划相关的政策，在其“Move Forward, Together”(一起面向未来)栏目发布了将来的计划，其中最重要的一件是：

SSL证书有效期从以前10年、5年降到3年、2年，再降到1年(2020年9月1日)，也就是3年时间内就要从1年有效期降到3个月有效期。Sectigo在3月7日的网络讨论会说估计年内会落实实施，这绝对是一个重磅炸弹！我国用户做好只能申请90天有效期的SSL证书的准备了？答案是没有！

SSL证书在我国网站的普及率本来就很低(少于20%)，一方面是不重视网站机密信息的加密保护，另一方面则是申请和安装SSL证书很麻烦。现在，每90天就要去重新申请一张新的证书，重新安装证书，这简直是要了网管的命！这一变化一定会进一步打击用户部署SSL证书的积极性，可能会导致大量的网站在SSL证书过期后不再费力去申请和安装SSL证书！怎么办？我国的CA产业界、网络安全产业界和云服务提供商必须为此拿出对策！

其实，谷歌在发布这个政策计划时已经为用户指明了方向，那就是马上尽快采用ACME客户端实现证书自动化管理，只有这样才能避免SSL证书繁琐的人工申请和人工部署和人工续期。但是，ACME服务不支持国密SSL证书，所幸的是，零信技术已于1月6日推出了国密ACME服务，包括国密ACME客户端软件—SM2cerBot 和国密ACME服务系统，能帮助用户实现自动化申请和部署双算法双SSL证书(ECC SSL证书和SM2 SSL证书)。但遗憾的是，由于安装国密ACME客户端软件的同时必须先卸载原Nginx Web服务器系统，必须重新安装改造后的支持国密算法Nginx系统，这样才能使得Web服务器支持国密算法和国密SSL证书，但这对用户的业务系统伤害很大，所以，笔者认为ACME也不是用户所需要的解决方案！

怎么办？零信技术已经为用户提供了两个可行的解决方案：部署国密HTTPS网关或启用国密云WAF服务，实现现有Web服务器零改造，自动化配置双算法双SSL证书，这就不怕谷歌或者国际标准要求只能签发90天证书了，90天内由网关或云服务自动化对接零信云SSL系统实现自动化申请新的SSL证书并自动化部署好。有了零改造的自动化部署方案，哪怕是将来的某一天证书有效期缩短为1天，都可以妥妥的应对！

笔者在阿里云在线访谈节目-云谷创新谈和在深圳商密协会讲座上都在强调实现SSL证书自动化部署的重要性，现在看来，这个自动化部署不再是需要推广的方案，而是必须执行的方案了！这值得各大网站管理员、各个云服务提供商高度重视，值得SSL证书相关的各方高度重视，各种云服务提供商必须尽快提供自动化证书申请和部署服务，各个用户网站必须尽快决定采用何种解决方案来解决这个即将带来的“革命”，因为每90天去手动申请证书和部署证书已经成为不可操作的事情了，一定会发生由于证书到期而忘了续费的事件，这样一定会影响业务系统的正常运行。

以上都是看得见的问题，但是还有一个大家可能看不到的问题，那就是这件事对CA业务的冲击也许比对用户的影响更大，试想一下，现在支持ACME自动化部署的免费90天SSL证书已经高达80%，如果收费SSL证书也必须是90天有效期，那还会有用户愿意花钱去购买收费SSL证书？这不是要革了CA的命吗？哪里是要“一起面向未来”哦！谷歌真会讲故事！由谷歌和火狐浏览器领头的90天免费SSL证书已经占领了全球超过60%以上的市场份额，而谷歌这一次的强势要求缩短SSL证书有效期，必将进一步加速他们的市场占有率，传统CA机构的前景堪忧，必须好好思考该往哪个方向走了。

笔者在多个会议上给出的建议是CA机构必须改变观念，改变以前只是销售SSL证书的传统观念，因为用户需要的是https加密，而不是SSL证书！应对即将到来的90天证书有效期政策的唯一解决方案是为用户提供自动化部署SSL证书解决方案，而不是销售SSL证书！零信技术在一年前就开始探索这个解决方案，并且已经找到了唯一可行的方案，欢迎广大CA机构合作共同应对“90天证书革命”。