部署SSL证书已经成为所有网站和各种业务系统的必须,而为了保障密钥安全,SSL证书是有有效期的,一旦过期则无法使用,一定会影响网站系统的正常运行。大家先看一个发生在2018年12月的真实案例:由于爱立信电信设备中的SSL证书过期而导致了移动运营商O2的移动数据管理系统崩溃,这使得其 3200万客户以及全球其他运营商的客户都无法正常使用移动通信服务,业务被中断了二十多个小时才恢复。为此,O2 向爱立信索赔数百万美元。由此可见,维持关键业务所需的SSL证书持续有效是多么重要的事情,但对于需要维护成千上万台Web服务器的大型机构是一个非常大的挑战,面临着SSL证书意外过期的巨大风险,以及由此产生的系统故障和这些故障可能会使企业带来的一段时间内系统瘫痪,从而对企业的业务和声誉造成不可挽回的损失。
而为了进一步保障SSL证书的密钥安全,谷歌在2023年3月份发起了应对日益增强的算力而保障HTTPS加密安全的计划,这个计划有一个非常好听的名字:一起面向未来(Move Forward, Together),核心思想是将SSL证书的最长有效期从现在的398 天减少到 90 天。这就使得SSL证书的人工部署变成了不可能,必须普及应用证书自动化技术来实现SSL证书自动化部署,实现HTTPS加密自动化。
一、 国际SSL证书自动化管理体系
SSL证书的部署应用在2015年之前发展都比较缓慢,每年平均增长5%左右,这个缓慢的增长速度的关键制约因素是申请和部署SSL证书太难了。但是,2015年Let’s Encrypt开始实现自动化提供免费SSL证书后,短短的三年就把SSL证书普及率从30%快速提升到80%。特别是在2019年出台了RFC8555 ACME(自动化证书管理环境)国际标准后,使得现在的全球SSL证书中自动化申请和部署比例已经高达90%。这给了我们很大的启示,那就是:普及商用密码SSL证书不能走传统的人工申请和部署证书的老路,必须走自动化申请和部署证书的新路。
目前国际SSL证书自动化管理生态中,支持ACME标准的厂商有CA机构、ACME服务提供商(包括云服务提供商)、Web服务器厂商、ACME客户端开发商等,这些厂商共同推动了国际SSL证书的快速普及应用,其主要技术手段是要求用户在Web服务器上安装ACME客户端软件,并要求CA机构提供ACME服务为ACME客户端提供SSL证书自动化申请和签发服务。
如下图所示,截至到2024年6月22日,全球有效的7.44亿张SSL证书中至少有6.34亿张是自动化部署的90天SSL证书,占比85%,这些都是由软件厂商和互联网公司提供自动化证书管理服务来完成自动化域名验证、签发和部署的90天有效期的DV SSL证书。如果再加上传统CA机构(DigiCert和Sectigo)提供的自动化证书管理服务签发的90天DV SSL证书(按60%比例计),则90天SSL证书占比已经高达 91%,这就是谷歌推动90天证书政策落地的底气,通过91%网站已经实现90天政策来倒逼剩下的9%的网站。
这些统计数据证明了只要实现了自动化部署,证书有效期是可以缩短到90天的,是可行的。缩短证书有效期就是为了进一步鼓励证书自动化部署,可以说是强制要求必须自动化部署,因为90天有效期证书几乎无法实现手动申请和部署,一年需要部署5次或者6次,不仅太浪费人力而且太不可靠了(可能会忘记及时续期)。
二、 国密SSL证书自动化管理体系
国际SSL证书的快速普及应用得力于国际SSL证书自动化管理生态体系的建设,包括ACME国际标准(RFC 8555)的建立和多个厂商提供国际SSL证书自动化管理服务。这是一条能实现快速部署SSL证书的新路,但是,国际证书自动化管理体系只支持国际密码算法RSA/ECC SSL证书,不支持商用密码算法SSL证书,这条自动化的新路不是我国的路,我国也必须建立支持商用密码算法的证书自动化管理之路。
零信技术鼎力打造了商密SSL证书的第二个生态—国密证书自动化管理生态(SM2 ACME),这个生态专为商密SSL证书的快速普及应用打造。这个生态包含了商用密码证书透明生态中的多个产品,包括提供国密ACME服务系统的零信云SSL系统,负责双算法双SSL证书的自动化申请和签发;国密ACME客户端、国密HTTPS加密自动化网关和国密HTTPS加密自动化云服务。
国密ACME客户端和国密ACME服务系统参考国际ACME标准设计,用户只需在服务器安装国密ACME客户端软件-SM2cerBot,一键实现国密SSL证书和国际SSL证书的双算法双SSL证书的自动化申请和部署,自动化实现商用密码https加密。但是,这个方案对原Web服务器改动太大,不适合于已有业务的Web应用系统。对于无法或不想在服务器上安装国密ACME客户端软件的用户,则可以选用部署内置国密ACME客户端实现自动化部署双SSL证书的国密HTTPS加密自动化网关,实现原Web服务器零改造和零安装证书的商密https加密和WAF防护。而对于不想部署或无法部署硬件网关的用户,则可以选用零信国密HTTPS加密自动化云服务,只需做域名解析就可以零改造和零安装证书的实现商密https加密、云WAF防护、CDN分发和网站可信认证四位一体的网站安全服务。
零信技术不仅全球独家打造了国密证书自动化管理生态产品,而且还作为牵头单位在国家密码行业标准化技术委员会成功立项制定两个密码行业标准—《自动化证书管理规范》和《证书透明规范》,通过制定国密标准来引领密码行业企业按照统一标准共同参与到国密SSL证书的自动化应用中来,共同为我国早日普及实现国密https加密做贡献。
三、 零信技术HTTPS加密自动化解决方案,为90天证书政策做好了充分的准备
零信技术早在3年前就认准了SSL证书自动化这个方向,发力双算法SSL证书的自动化管理,而不仅仅是国际算法SSL证书,而是商密SSL证书和国际SSL证书的双自动化部署解决方案,这是一个端云一体的、原Web服务器零改造的、自动化申请和部署双SSL证书、自动化实现自适应密码算法的HTTPS加密自动化解决方案。
无论用户选择部署零信网关还是选用零信云服务,都可以快速(一天)实现双SSL证书自动化管理,所有自动化配置的双SSL证书都是90天有效期证书,包括DV/OV/EV SSL证书,包括商密SSL证书和国际SSL证书。如下图所示,零信网关自动化默认为用户配置的双SSL证书是商密OV SSL证书和国际DV SSL证书。可以看出:这两张SSL证书的有效期都是90天,90天商密OV SSL证书和90天国际DV SSL证书。
用户可以使用零信浏览器查验,如下图所示,加密锁和 
标识表示采用商密算法实现HTTPS加密,
标识表示由零信网关WAF提供云WAF防护服务,T3标识和浅绿色地址栏表示这张商密SSL证书是OV SSL证书。请同时使用其他浏览器查看国际SSL证书,是一张采用ECC算法的从ZoTrus自有品牌中级根证书签发的90天有效期SSL证书。
如下图所示,这是零信网关自动化为用户配置的另一种双SSL证书搭配:商密EV SSL证书和国际DV SSL证书。可以看出:这两张SSL证书的有效期也都是90天,90天商密EV SSL证书和90天国际DV SSL证书。
用户可以使用零信浏览器查验,如下图所示,加密锁和 标识表示采用商密算法实现HTTPS加密, 标识表示由零信网关WAF提供云WAF防护服务,T4标识和绿色地址栏标识这张商密SSL证书是EV SSL证书。请同时使用其他浏览器查看国际SSL证书,是一张采用ECC算法的从ZoTrus自有品牌中级根证书签发的90天有效期SSL证书。
零信网关和由零信网关提供的云服务都已经提前准备好迎接即将到来的90天证书政策,已经实现自动化配置90天证书,不仅能让用户从容应对90天证书政策的落地,就算是哪一天变成了每天更换密钥都可以做到。只有这样,才能轻松过渡到抗量子算法,不断提升HTTPS加密服务的安全性和敏捷性,轻松帮助用户实现大规模的SSL证书部署,零改造完成商密HTTPS加密改造,满足用户商密合规、等保合规、密保合规、关保合规和全球信任等网络与通信安全及应用和数据安全的合规要求,快速实现所有互联网政务应用的商密HTTPS加密安全连接。