首页 > CEO博客

中国SSL证书市场发展趋势分析简报-2024Q4
2025年1月3日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

本报告由 零信密码应用研究院零信浏览器 全球独家联合发布,电子版首发渠道为零信密码应用研究院微信公众号:zotrusi和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。

本次发布的是定期发布的2024年第4季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的国际SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策和产业发展政策。

一、全球SSL证书统计数据分析

根据国际证书透明日志系统数据统计,截止到 2024年12月31日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有 10.3194 亿张,比上一季度增加了 16.46%,其中只验证域名的DV SSL证书、验证单位身份的OV SSL证书和扩展验证单位身份的EV SSL证书的签发量、占比和同上一季度环比数据如下表1所示,本季度的OV SSL证书占比比一季度增加了1.10%,说明微软云、Cloudflare和思科等大厂自动化签发了大量的O字段为其公司名称的OV SSL证书的签发量有增加,实际上是为使用其云服务的网站和设备签发的,也就是说ACME自动化签发不仅仅适用于DV SSL证书,也可用于OV SSL证书和EV SSL证书。

全球SSL证书统计数据分析
表 1

全球 10.3194 亿张有效证书中,排名前十五大SSL证书提供商的证书签发量、占比和同上季度环比增长情况如下表2所示,第1位仍然是Let’s Encrypt,并且比上一季度增加了12.90%,市场占比比上季度略有下降,第2位是谷歌,比上一季度上升了一位,GoDaddy排名第3,下降了一位。值得一提的是传统CA机构DigiCert保持在第4位,环比增长20.71%,说明DigiCert已经发力自动化证书管理,这值得所有国内CA机构学习和借鉴。

全球SSL证书统计数据分析
表 2

本期继续直接采用表格形式列出全球前15大SSL证书提供商的情况,主要是希望用户能了解全球SSL证书市场的全貌,这15大中美国不仅占据前7大,而且共有11家,占比73%,证书签发量占97.92%。我国有一家,但并不是顶级根CA,而是定制美国CA的中级根SSL证书提供商,已连续两个季度都是两位数的负增长。展示公司类型的目的是希望给我国各相关行业领导者战略决策参考,一定要改变只有CA机构才能签发SSL证书的传统旧观念!比如说,互联网软件厂商就应该向LE学习,LE就是编写一个自动化申请证书的软件而一跃成为全球第一大SSL证书提供商,并且拥有自己顶级根的CA机构。还有互联网公司、云服务提供商、设备制造商等等,都可以通过定制中级根方式来实现自动化为用户提供自己品牌的SSL证书,从而实现行业逆袭。

如下图1所示,用圆饼图直观展示全球前15大SSL证书提供商的证书签发量排名和占比情况。

全球SSL证书统计数据分析
图 1

本季度的数据中的DV SSL证书比例高达90%,这个数据非常值得重视,因为谷歌在去年3月3日发布了将来的计划,将推动国际标准缩短SSL证书有效期为90天,苹果于去年10月提出了缩短为45天。谷歌和苹果发布这些计划是有底气,因为目前全球有效SSL证书中已经有90%都是90天有效期的证书,虽然这个比例在我国并没有这么高,但是这个数据非常值得重视。唯一的出路大家应该已经看到了,只有自动化实现SSL证书的申请、部署和续期,这是唯一的一条路,不仅国际SSL证书如此,国密SSL证书也是如此。

二、我国政府网站的SSL证书统计数据分析

我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。

具体数据如下表3所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1779 张,比上一季度减少了 1.22%,这是在连续三个季度增长后减少。其中,排名前5名本季度没有变化,仍然是 上海市、浙江省、北京市、海南省、广西壮族自治区,值得注意的是本季度有14个省市自治区为负增长。

我国政府网站的SSL证书统计数据分析
表 3

对于国密算法SSL证书的部署情况,本季度新增了陕西省,但海南省证书过期没有续期,所以31个省市自治区省级政府官网中部署了商密SSL证书的还是两个省:湖南省和陕西省。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署国密HTTPS加密自动化网关,原系统零改造,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。

对于默认HTTPS加密这一项,本月只有18个省政府官网自动启用HTTPS加密,虽然有多个省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,能节省原服务器的20%-30%算力,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。

对于省政府官网是否有云WAF防护这一项,31个省市自治区中有5个省政府网站有WAF防护,同时启用了默认https加密,只有这样,WAF防护才真正发挥防护作用。当然,我们无法知道政府网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。

如下图2所示,用圆饼图直观展示全国31个省市自治区政府网站的证书签发量排名和占比情况。

我国政府网站的SSL证书统计数据分析
图 2

我们检索了 *.gov.cn 的SSL证书申请量为 16522 张,比上一季度减少了 4.81%,这是我国各省市所有政府网站的总量(不包括港澳台地区),含上面统计数据中的1779张。这些*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表4所示。从数据可以看出,政府用户仍然喜欢申请无需提供任何证明材料的DV SSL证书,占比68.73%,比上期有所下降。而需要提供身份认证证明材料的OV SSL证书的占比继续上升中,推荐政府用户向国内CA机构申请OV或EV SSL证书,如果要申请国外CA机构签发的SSL证书,则推荐申请DV SSL证书,以避免数据出境管理风险。但是,我们发现,多个省市的政府官网的OV SSL证书的O字段并不是政府机构名称,而且公司名称,这绝对是一张错误签发的OV SSL证书,可以理解为是销售商为了提高证书销售额但又拿不到政府机构的身份证明材料的无奈之举和不良行为,应该直接给这些政府网站申请DV SSL证书,而不是给一张身份信息错误的OV SSL证书。

我国政府网站的SSL证书统计数据分析
表 4

为政府网站*.gov.cn签发这 16522 张SSL证书的SSL证书提供商前18位排名及签发数量和国别如下表5所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。对比上一期数据可以看出:美国CA-DigiCert下降了13%,这是连续6个季度在下降,可以看出政府用户更加青睐国内CA。

我国政府网站的SSL证书统计数据分析
表 5

如下图3所示,用圆饼图直观展示为我国政府网站的签发国际SSL证书的SSL证书提供商的排名和占比情况。

我国政府网站的SSL证书统计数据分析
图 3

我们同时还检索了港澳台地区的SSL证书申请量,如下表6所示。我国大陆各省市所有政府网站合计证书申请量为 16522 张,仍然比台湾省的证书申请量少,本季度大陆和港澳台地区政府网站的SSL证书申请量全都有不同幅度的减少。

我国政府网站的SSL证书统计数据分析
表 6

三、 我国本土国际SSL证书提供商的统计数据分析

我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书的中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称- SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有3家是CA机构,仅排名为第四、第七和第十,其余都是全球知名的互联网巨头和云服务提供商。

如下表7所示,本次列入统计的本土SSL证书提供商有17家,都是拥有自主品牌的全球信任的SSL中级根证书的SSL证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这17家SSL证书提供商中有7家公司是CA机构,有3家是知名的云服务提供商,其他8家是商业公司。

而这17家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书。其他14家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods。

这17家国际SSL证书提供商签发的有效证书数合计为 117.8151 万张,比上一季度下降了 12.98%,对比全球数据增加了 16%,国内SSL证书提供商的市场份额已连续两个季度都在下降,这17家的总和在全球SSL证书提供商中排名仍然是第 14 位。本期虽然总数有下降,但是多家机构的增幅超过20%,有两家超过60%,这里面一定是在自动化证书管理方面的努力结果,值得点赞。对比上一季度数据,亚数虽然还保持第一位,但是连续两个季度两位数的负增长,本季度首次跌破100万张,这个值得注意。零信证签又上升了一位,新网数码上升了两位,上海环度上升了3位,中金认证下降了两位。

我国本土国际SSL证书提供商的统计数据分析
表 7

本期合计统计 117 万多张SSL证书中各种类型的占比数据如下表8所示,DV SSL证书占比高达 97.35%,这个比例比全球市场的DV SSL证书的占比90%高出不少,这说明了我国用户比全球用户更加喜欢无需提供任何身份证明材料的DV SSL证书,因为目前用户不愿意提供身份认证材料给国外CA,认证审核时间长和存在数据出境管理风险,这也可能是政府用户选择向国内CA申请OV/EV SSL证书的主要原因。

我国本土国际SSL证书提供商的统计数据分析
表 8

四、 我国国密SSL证书提供商的统计数据分析

本期发布的国密SSL证书数据来自零信国密证书透明日志系统和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的国密SSL证书数据仅供参考。合计 47033张,比上一季度增长了 58%,连续9个季度持续快速增长,这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,增长最多的是网银系统用国密SSL证书,其次是政府网站和政务服务系统。

本季度无新增CA机构支持国密证书透明标准草案,希望更多了零信浏览器信任的CA机构签发的国密SSL证书支持国密证书透明,一旦有5家CA机构签发的国密SSL证书支持国密证书透明标准草案,本报告将像国际SSL证书一样列表排名各个商密SSL证书提供商签发的商密SSL证书,以帮助用户在选购商密SSL证书时优先选择支持国密证书透明的商密SSL证书提供商,从而保障用户自身的合法权益和网站安全。证书透明,向全世界告白-这张证书是我签发的,能大大提升SSL证书提供商的品牌知名度!

我们希望有更多机构,包括国家相关管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的商密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,商密SSL证书的签发统计数据才是真实的数据,商密SSL证书才能真正保障其自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。

五、 2024年度数据汇总分析

如火如荼的2024年已经过去了,让我们通过下表对比看看这一年来几个重要数据的变化。
2024年度数据汇总分析
表 9

从上表各种数据可以看出:

  • 全球SSL证书增长率为52%,但我国政府网站的SSL证书增长率只有14%,远低于全球增长率。
  • 虽然全球SSL证书申请量增长了52%,但是我国本土SSL证书提供商的证书总数却下降了8%,说明国际CA在国内的市场占有率有所提升,主要是支持ACME自动化部署的LE和GTS的市场份额正在快速上升,这非常值得国内SSL证书提供商高度重视,用户喜欢自动化部署。
  • 我国政府网站(*.gov.cn)SSL证书申请量下降了2.33%,而总数16522张只占我国政府事业单位网站标识发放总量109310的15.11%,说明还有大量的政府网站没有部署SSL证书。
  • 国际SSL证书中只验证域名的DV SSL证书占比增长了5.47%,相比我国政府市场,反而下降了将近10%,这说明政府市场比国际市场更青睐验证身份的OV SSL证书和EV SSL证书,这一点也值得国内SSL证书提供商和销售商注意。
  • 31个省市自治区政府官网默认HTTPS加密比例只有58%,并且一年来没有增长,这同欧美政府网站都是100% 默认HTTPS加密相比,还有巨大的改进空间。主要障碍还是传统的人工部署SSL证书很繁琐,应当尽快实现SSL证书自动化部署。
  • 国密SSL证书申请量增长了将近11倍,这是一个大亮点,说明随着相关国密合规的法律法规的健全和完善,执法检查力度越来越大,国密SSL证书市场将在2025年有爆发式增长。但是,相比31个省市自治区政府官网只有两个省部署了国密SSL证书,并且只有一个省是默认启用国密HTTPS加密,这更加说明了国密改造有多难!推荐普及应用零改造的国密HTTPS加密自动化管理解决方案。
  • 国密SSL证书从2023年Q4的4千多张,到2024年Q4的4万多张,对比全球国际SSL证书已经有了10亿多张,可见市场潜力巨大。再对比我国本土国际SSL证书提供商签发了117万多张,只要国内SSL证书提供商都能像零信证签一样为用户默认签发双算法SSL证书,那2025年国密SSL证书的签发量就可达到百万张,增长幅度就是25倍。由此可预见国密SSL证书的市场潜力是非常大的。

六、 2024年SSL证书相关法规分析

2024年我国相关部门发布了多个与SSL证书和HTTPS加密相关的法规文件,最值得关注的有3个:

  • 5月22日,网信办、中央编办、工信部和公安部联合发布了《互联网政务应用安全管理规定》,要求所有政府网站和政务服务系统都必须实现国密HTTPS加密方式安全连接,此规定从7月1日起施行,包括所有关键信息基础设施单位运行的所有互联网应用。这个规定的力度还是很大的,明确指出对于没有实现的单位将依规依纪追究当事人和有关领导的责任。

    这对于这些单位来讲是一项艰巨的任务,而对于相关服务提供商来讲则是一个巨大的市场机会,因为根据上面的统计数据,政府网站的SSL证书申请量只占网站总数的15%。但是,这个市场绝对不是简单的销售SSL证书市场,而且要为政府用户提供国密HTTPS加密自动化解决方案。

  • 7月19日,国家密码管理局发布了《国家密码管理局商用密码随机抽查事项清单(2024年版)》,这可以理解为这是对5月22日四部委发布的《规定》的监督检查执法,采用抽查方式来检查,威慑力更大。11月15日还发布了关于《关键信息基础设施商用密码使用管理规定(征求意见稿)》公开征求意见的通知,这个就是要专门针对关键信息基础设施运营单位出台更加严格的国密合规管理规定。

    这对于政府、金融、电信等关键信息基础设施运营单位来讲,也是一项非常棘手的任务,需要随时应对被抽查检查,这就更需要一劳永逸的解决方案,那就是国密HTTPS加密自动化解决方案。

  • 11月21日,中国人民银行、国家发展改革委、工业和信息化部、金融监管总局、中国证监会、国家数据局、国家外汇局等七部门联合印发了《推动数字金融高质量发展行动方案》,要求所有金融机构都必须采用商用密码来保障金融数据安全和网络安全,这是要求银行官网、网银系统和银行业务系统必须实现国密HTTPS加密。

    这对于所有金融机构来讲,也是一个非常棘手的任务,虽然金融机构早在2018年就已经开始国密改造,但是目前仍然只有一个银行官网实现了国密HTTPS加密,还有大量金融机构的官网甚至都还没有启用HTTPS加密。因为传统的国密HTTPS加密改造太难,只有零改造的国密HTTPS加密自动化解决方案才能真正解决金融系统国密HTTPS加密改造难题。

七、 小结

本期报告在2025元旦假期完成,零信技术的新年海报主题为:2025 密.中国,密码保障甜蜜生活。这个海报主题也是本季度报告的主题,因为只有普及应用商用密码才能真正保障我国网络空间安全,只有普及应用国密SSL证书实现国密HTTPS加密,才能保障我国网站系统安全,这是网络空间安全的基础安全保障,所以保障了网站安全也就是保护了国家安全,因为“没有网络安全就没有国家安全”。而只有保障了国家安全,才会有小家的甜蜜生活。

为了国家的长治久安,密码人和网安人大家继续齐加油,2025,密·中国。