Let's Encrypt已占全球SSL证书市场的绝对主导地位(近50%),发行了超过10亿张有效SSL证书,每日签发量超千万张。在整个SSL证书生态中,DV SSL证书占比超过95%,这得益于ACME(自动化证书管理环境)协议的广泛应用,让域名验证和证书申请完全实现了无人值守的自动化,这意味着国际市场已经基本普及了DV SSL证书自动化。
然而,这一繁荣背后隐藏着一个巨大的市场接受度的反差:CA机构通过几十年的努力说服用户接受OV证书,但OV/EV证书的自动化签发却几乎没有进展,因为传统观点长期认为,OV和EV证书需要人工完成组织身份验证,因此“不适合”自动化签发流程。
这一认知在国际上已开始被突破,国际头部CA已推出面向OV和EV证书的ACME自动化方案,通过“一次人工身份审核、后续全自动化”的模式,用户只需完成一次单位身份的预鉴证,后续的OV/EV证书申请、更新和吊销均可通过ACME协议自动完成。这表明,OV/EV证书的自动化在技术上完全没有问题,真正的障碍在于CA是否愿意投入改造其证书签发系统。
作为证书自动化的主要推动方—谷歌也认识到这个市场反差问题,于2026年2月5日发布了谷歌浏览器根认证计划V1.8版本。其中最关键的一条要求是:从2027年3月15日起,如果某个PKI层级签发的新证书中包含任何基线要求证书政策OID(即2.23.140.1.x系列,涵盖DV、OV、IV和EV全部四种证书类型),但该层级在CCADB中缺乏自动化解决方案的证明披露,谷歌浏览器就将启动CA淘汰程序。请注意:2027年3月15日同时也是缩短SSL证书有效期为100天的起始日期。
让我们逐句拆解这条规则的杀伤力。
第一,触发条件是什么?任何CA下属的任意一个中级根CA(即一个PKI层级),只要用这个中级根CA签发了任意一张包含“基线要求证书政策OID”的新证书,即无论这张证书是DV、OV还是EV,只要这张证书含有证书类型OID的签发行为就自动触发了CA向CCADB披露自动化能力证明的义务。换句话说,只要CA还在签发TLS/SSL证书,就必须为签发该证书配备并证明其自动化能力。
第二,什么算"自动化解决方案的证明披露"?CA需要在CCADB(通用CA数据库,Chrome、Mozilla等四大浏览器根证书库共同使用的信息公示平台)中,为每一个证书政策OID(DV证书对应的是2.23.140.1.2.1,OV对应的2.23.140.1.2.2,EV对应的2.23.140.1.1)提供一个完整的证书自动化方案说明。这个说明至少包括:自动化方案的名称、类型(如ACME或专有API)、自动化测试网站的URL(必须使用该自动化方案签发的有效证书)、以及该证书政策OID所对应的自动化服务端等信息。谷歌明确鼓励使用ACME协议,但也允许其他等效的非ACME自动化方案,前提是CA必须披露方案细节并证明其真实有效。
第三,如何证明自动化方案"真实有效"?CA必须为每个类型的SSL证书的自动化方案实际运行一个“测试网站”,该网站所呈现的SSL证书必须完全由该CA根通过自动化方案签发,并且证书必须至少每30天自动更新一次。换言之,谷歌要求CA用连续不断运行、定期自动更新的“活”证书来证明其自动化能力,而不是在CCADB里放一纸空文描述和承诺。请注意:这个自动化更新能力是要求在明年3月15日之前具备每30天更新一次证书的自动化能力,而不是国际标准要求的2029年3月15日起的47天有效期,证书可以是100天的,但必须每30天自动更新一次。
第四,不披露或者披露后被发现造假,后果是什么?政策原文写得非常清楚:一旦谷歌检测到违规,例如发现某个中级根CA签发了新的证书,但其对应的PKI层级在CCADB中根本没有自动化方案证明;或者即使有提交自动化证明,但是用于证明自动化能力的测试网站并没有做到每30天更新一次证书,谷歌就会为该中级根CA设定一个淘汰日期(phase-out date),这个日期定在违规检测后的90天。90天之后,谷歌浏览器将不再信任这个中级根CA签发的任何新证书,甚至在更新根证书库时直接将根CA移出信任列表。
第五,这条规则给了CA多长时间缓冲?政策自2026年2月5日发布,但实际执行起始日为2027年3月15日。也就是说,全球所有CA有大约13个月的时间去改造自己的证书签发系统、建立自动化的DV/OV/EV证书签发流程,并在CCADB中完成披露,但到今天就只剩下9个月了。对于已经具备自动化能力的CA,这只是一项合规披露工作;但对于那些至今仍然完全依赖人工手动签发DV/OV/EV证书的CA,这意味着必须在一年之内完成从“人工模式”到“自动化模式”的彻底转型,否则其SSL证书业务将在2027年3月15日之后被谷歌浏览器直接掐断。
第六,政策背后的深层逻辑是什么?很多人误以为谷歌只是"建议"CA拥抱自动化,或者认为OV/EV证书因为涉及身份验证可以豁免。但V1.8版本彻底打破了这一幻想:政策明确将OV和EV证书的OID(2.23.140.1.2.2和2.23.140.1.1)列入了必须提供自动化证明的范围,没有任何例外。谷歌之所以如此强势推进,根源在于CA/浏览器论坛的基线BR要求早已为自动化扫清了技术障碍。首先,BR的3.2.2.4节明确规定,CA在验证企业身份时可以采用"可靠的外部数据源",例如政府数据库、征信机构等,并不必然依赖人工线下核查,这意味着OV和EV证书的身份验证环节完全可以被标准化、自动化地完成。其次,IETF早在2019年就发布了RFC 8555(即ACME协议),BR也早已将其采纳为行业标准,为证书的自动化申请、域名验证和吊销提供了完整的技术框架。谷歌此次强制要求CA在CCADB中披露其自动化方案,本质上就是将BR已经允许的“自动化验证”和已经采纳的“ACME标准”从“可选项”升级为"必选项"。因此,谷歌强制要求所有类型SSL证书全部支持自动化,既是对BR既有精神的落地,也是为证书有效期不断缩短政策的落地铺路,也是回应了用户对OV证书的自动化需求。
总而言之,谷歌V1.8政策不是一份建议书,而是一张带有明确时间表和执行机制的"最后通牒"。它向全球CA发出了一个清晰无误的信号:要么让你的OV/EV证书也能像DV SSL证书一样全自动签发,要么你就放弃签发OV/EV SSL证书,或者放弃谷歌浏览器信任。
谷歌的这一政策调整,看似面向国际PKI体系,实际上为我国的国密SSL证书自动化提供了绝佳的加速动力。原因很简单:如果国际市场要求OV/EV证书也必须支持自动化签发,那么中国CA在改造国际SSL证书签发系统的同时,完全可以将同样的自动化能力复用于国密SSL证书。
但目前我国国密SSL证书的自动化现状并不乐观。绝大多数CA至今仍然签发一年有效期的国密SSL证书,仅有极少数CA实现了国密SSL证书的自动化签发。这种现状与已经生效的证书有效期不断缩短形成了尖锐的矛盾。如果国密CA依然依赖一年一签的人工手动模式,届时将根本无法应对平均每月一次的证书更新需求。
零信技术早在2023年就已发布的国密HTTPS加密自动化网关,正是这一趋势的前沿实践。该自动化网关默认配置为"国密OV+国际DV"双证书模式,实现了国密OV SSL证书的自动化申请、云SSL服务系统的自动化身份验证和域名验证以及自动化签发、自动化网关的自动化部署。这证明了自动化签发国密OV SSL证书不仅在技术上完全可行,而且已经是一个可商用的成熟方案。
零信浏览器的实践同样具有示范意义。零信浏览器已修订了国密SSL证书有效期的验证规则,同步谷歌浏览器一样不信任超过国际标准规定有效期的国密SSL证书,与国际标准保持一致。这一举措传递了一个明确的信号:证书有效期缩短是大势所趋,唯有自动化才是未来。
谷歌新规给我们带来的最重要启示是:所有类型SSL证书的自动化签发不是"可选项",而是浏览器信任的"必选项"。建议我国CA应当抓住这个窗口期,借国际SSL证书自动化的经验,加快国密SSL证书自动化服务能力的改造,采用自动化方式快速普及国密SSL证书应用。零信技术的国密OV+国际DV双证书自动化的成功实践已经证明,这条路不仅走得通,而且走得很好,同时满足了用户对国密OV证书和证书自动化管理的迫切需求。
