首页 > CEO博客

中国SSL证书市场发展趋势分析简报-2025Q32025年10月9日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

本报告由 零信密码应用研究院零信浏览器 全球独家联合发布,电子版首发渠道为零信密码应用研究院微信公众号:zotrusi和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。

从本期开始改为每双季度发布一次前两个季度的SSL证书市场发展趋势分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的国际SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策和产业发展政策。

一、全球SSL证书统计数据分析

根据国际证书透明日志系统数据统计,截止到 2025年9月30日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有 13.7186 亿张,比第一季度增加了 24.19%

排名前十五大SSL证书提供商的证书签发量、占比和同上季度环比增长情况如下表1所示,第1位仍然是Let’s Encrypt,并且比一季度增加了26.50%,市场占比比上季度有上升,第2位是谷歌,占比比上一季度略有下降,GoDaddy排名第3,环比增长接近40%。值得一提的是,亚马逊从Q1的第6位上升到第4位,意味着其相关云服务由于SSL证书自动化带动了快速增长,环比增长高达71%,这非常值得我国所有云服务商学习借鉴。传统CA机构DigiCert虽然保持第5位不变,但环比减少了4%;而Sectigo则是下降了一位,由第7位下降到第8位,应该与Sectigo停止签发免费90天证书的有关。而CDN服务提供商Cloudflare有130%的增长,这个从未有的快速增长幅度估计与其从3月份开始默认免费支持后量子密码有关,即使其部分用户自动化配置是LE和GTS的SSL证书。还有一个上升两位的是ZeroSSL,环比增加246%,其竞争优势是多通道自动化签发SSL证书。最值得关注的是亚数信息,连续5个季度大幅度的下降(21%),这应该与根CA不再提供免费90天证书和收费证书涨价有关。

全球SSL证书统计数据分析
表 1

本期继续直接采用表格形式列出全球前15大SSL证书提供商的情况,主要是希望用户能了解全球SSL证书市场的全貌,这15大中美国不仅占据前8大,而且共有11家,占比73%,证书签发量占95.91%。统计表格展示公司类型的目的是希望给我国各相关行业领导者战略决策参考,一定要改变只有CA机构才能签发SSL证书的传统旧观念!比如说,互联网软件厂商就应该向LE学习,LE就是编写一个自动化申请证书的软件而一跃成为全球第一大SSL证书提供商,并且拥有自己顶级根的CA机构。还有互联网公司、云服务提供商、设备制造商、网安公司)等等,都可以通过定制中级根方式来实现自动化为用户提供自己品牌的SSL证书,从而实现行业逆袭。

如下图1所示,用圆饼图直观展示全球前15大SSL证书提供商的证书签发量排名和占比情况。

全球前15大SSL证书提供商
图 1

二、我国政府网站的SSL证书统计数据分析

我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。

具体数据如下表2所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1874 张,比一季度增长了 14.76%,这是在连续3个季度减少后的两位数增长,并且也只有4个省市自治区在减少,这也是首次,其他省市都有增长,其中增长幅度超过60%的有三个省:山西省、西藏自治区和黑龙江省。排名前7位没有变化,排名上升最多的是天津市,上升了5位(从第13升到第8),黑龙江省也是上升了5位(从第21升到第16)。

我国政府网站的SSL证书统计数据分析
表 2

对于国密算法SSL证书的部署情况,31个省市自治区省级政府官网中部署了国密SSL证书的有5个省:海南省、陕西省、江西省、湖南省、安徽省。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署国密HTTPS加密自动化网关,原系统零改造,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。

对于默认HTTPS加密这一项,只有18个省政府官网自动启用HTTPS加密,虽然有更多的省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,能节省原服务器的20%-30%算力,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。

对于省政府官网是否有云WAF防护这一项,31个省市自治区中有5个省政府网站有WAF防护,同时启用了默认https加密,只有这样,WAF防护才真正发挥防护作用。当然,我们无法知道政府网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。

如下图2所示,用圆饼图直观展示全国31个省市自治区政府网站的证书签发量排名和占比情况。

国密算法SSL证书的部署情况
图 2

我们同时检索了*.gov.cn的SSL证书申请量为 16507 张,比一季度增长了 11.11%。为政府网站*.gov.cn签发SSL证书的SSL证书提供商前18位排名及签发数量和国别如下表3所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。对比上一期数据可以看出:亚数信息下降了26%,天威诚信增长了253%,CFCA、上海CA和沃通CA也都有两位数的增长,可以看出政府用户更加青睐国内CA。免费自动化SSL证书提供商LE从一季度的第三位上升到第二位,这个数据值得注意,证书自动化已经开始在市县级政府网站实施。

*.gov.cn的SSL证书申请量
表 3

如下图3所示,用圆饼图直观展示为我国政府网站的签发国际SSL证书的SSL证书提供商的排名和占比情况。

我国政府网站的签发国际SSL证书
图 3

我们同时还检索了港澳台地区的SSL证书申请量,如下表4所示。我国大陆各省市所有政府网站合计证书申请量为16507张,台湾省的证书申请量增长106%,估计与中华电信CA被谷歌浏览器不信任有关,大量网站需要重新从其他CA申请新证书。

港澳台地区的SSL证书申请量
表 4

三、 我国本土国际SSL证书提供商的统计数据分析

我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书的中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为“SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有3家是CA机构,仅排名为第五、第七和第十,其余都是全球知名的互联网巨头和云服务提供商。

如下表5所示,本次列入统计的本土SSL证书提供商有16家,都是拥有自主品牌的全球信任的SSL中级根证书的SSL证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这16家SSL证书提供商中有6家公司是CA机构,有3家是知名的云服务提供商,其他7家是商业公司。

而这16家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书。其他13家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods。

这16家国际SSL证书提供商签发的有效证书数合计为84.6662万张,比一季度下降了11.78%,这是连续4个季度都在下降,对比全球数据增加了24%,只能说明国内SSL证书提供商输在了证书自动化管理上。本期虽然总数有下降,但是有9家机构的增幅超过两位数。对比一季度数据,亚数虽然还保持第一位,但是连续5个季度两位数的负增长,本季度跌破60万张,排名第二上海瑞成负增长44%,其原因是根CA-Sectigo已经不再提供免费90天SSL证书。新网数码增长277%,上升了两位,上海环度增长148%,排名上升了4位,中金认证下降了1位。

我国本土国际SSL证书提供商的统计数据分析
表 5

四、 我国国密SSL证书提供商的统计数据分析

本期发布的国密SSL证书数据来自零信国密证书透明日志系统和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的国密SSL证书数据仅供参考。合计96462张,比一季度增长了154%,本季度第一次实现了3位数的增长,并且是连续12个季度持续快速增长,这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,增长最多的是政务系统用国密SSL证书。

本季度无新增CA机构支持国密证书透明标准草案,希望更多了零信浏览器信任的CA机构签发的国密SSL证书支持国密证书透明,一旦有5家CA机构签发的国密SSL证书支持国密证书透明标准草案,本报告将像国际SSL证书一样列表排名各个商密SSL证书提供商签发的商密SSL证书,以帮助用户在选购商密SSL证书时优先选择支持国密证书透明的商密SSL证书提供商,从而保障用户自身的合法权益和网站安全。证书透明,向全世界告白-这张证书是我签发的,能大大提升SSL证书提供商的品牌知名度!

我们希望有更多机构,包括国家相关管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的商密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,商密SSL证书的签发统计数据才是真实的数据,商密SSL证书才能真正保障其自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。

五、 本期关注点

1. 后量子密码(PQC)HTTPS加密

美英法政府网站、美欧网银系统、美欧大学官网、全球前八大互联网流量网站在Q2和Q2纷纷启用后量子密码算法混合协议实现HTTPS加密,这是一个本季度发生的密码行业和网络安全行业的大事,意味着后量子密码从理论课题研究迈入了规模化部署阶段,这个规模化的部署使得全球互联网流量中已有41%流量实现了后量子密码HTTPS加密,这些流量是抗量子攻击的真正安全的流量。这是一场无声的技术革命,非常值得我国密码业界和网络安全业界,以及政府主管部门高度重视和深入研究对策。

美欧互联网之所以这么迅速地实现后量子密码HTTPS加密,是因为目前已经存在“先收集后解密”的安全威胁,也就是先把由传统密码算法(RSA/ECC/SM2)实现的HTTPS加密流量收集保存起来,一旦量子计算机可用时就可以解密这些加密流量,使得现在的所有机密信息将都成为明文,这将是不可承受的最大互联网安全威胁。所以,美欧迅速行动起来采用后量子密码算法保护其机密信息安全。而我国到目前为止,没有一个政府网站和政务系统、没有一个银行网银系统、没有一所大学官网、没有一个互联网大流量网站实现了后量子密码HTTPS加密,这非常值得反思和赶紧行动起来。

零信密码应用研究院随机抽查了英国100个政府网站(*.gov.uk),有38%的网站已经实现了后量子密码HTTPS加密,其实现方式主要有两种方式:一是由政务云专用CDN+WAF服务统一提供支持,二是使用商业云服务提供商提供的CND/WAF服务实现。这两种实现方式都非常值得我国政务云服务和商业云服务学习与借鉴。

后量子密码是一场“输不起的竞赛”,我国关键信息基础设施系统每延迟一天启用PQC,就多一天机密数据将来被解密的风险,所有现在已用传统密码算法加密的机密数据将来都会成为明文数据,这可能是灾难性的巨大风险。即便现在已完成全部系统商用密码改造,但传统密码算法(包括SM2)不仅仅是在量子时代不安全,现在就已经存在数据安全威胁。所以,后量子密码迁移的实际紧迫性远超当前广泛开展的商用密码改造,我国应高度重视并加速推进后量子密码迁移工作,其优先级甚至应高于传统商用密码改造。最优策略是将两类密码算法改造同步完成。

2. DV SSL证书已成为默认证书类型

熟悉本报告的读者也许已经注意到本期报告不再分别统计各类统计数据中的DV SSL证书、OV SSL证书和EV SSL证书的数量和占比,这是因为全球SSL证书中的DV SSL证书占比已经超过95%,DV SSL证书已经成为默认证书类型。

这就好比SSL证书在1994年发明时只有OV SSL证书一样,现在SSL证书也很快基本上都是DV SSL证书了,所以,本报告从本期开始不再区分SSL证书类型,默认认为SSL证书就是DV SSL证书。这不仅是证书自动化时代的发展趋势,也是实现“密码敏捷”的需要,更是全球互联网向后量子密码迁移的需要。