谷歌于2025年5月30日在其官方安全博客中宣布：7月31日之后谷歌瀏覽器139版本不再信任臺(tái)灣省中華電信CA的兩個(gè)根證書(shū)(ePKI和HiPKI)和匈牙利CA-Netlock的根證書(shū)簽發(fā)的SSL證書(shū)。所有CA機(jī)構(gòu)必須居安思危，準(zhǔn)備可行的災(zāi)備應(yīng)對(duì)之策，而不僅僅是堅(jiān)信自己嚴(yán)格遵守相關(guān)國(guó)際標(biāo)準(zhǔn)就不會(huì)有問(wèn)題。更重要的是，所有SSL證書(shū)用戶都應(yīng)該在選購(gòu)SSL證書(shū)時(shí)謹(jǐn)慎選擇SSL證書(shū)提供商，特別是政府和銀行等運(yùn)行關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)的用戶，本文將提供采購(gòu)決策指南供參考。

SSL證書(shū)的供應(yīng)鏈存在很多不穩(wěn)定的因素

谷歌在公告中寫(xiě)道：“我們建議受影響的網(wǎng)站運(yùn)營(yíng)者盡快合理地過(guò)渡到新的公眾信任的 CA 機(jī)構(gòu)。為避免對(duì)網(wǎng)站用戶產(chǎn)生不利影響，必須在 2025年7月31日 之前完成證書(shū)替換工作”。目前來(lái)講，這也是用戶必須也只能這樣做的工作了。但發(fā)生這樣的事情，最大的受害者是SSL證書(shū)用戶，這對(duì)于SSL證書(shū)用戶來(lái)講是非常不公平的事情，但又是非常無(wú)奈的事情。其實(shí)，SSL證書(shū)用戶還可以有避免此類SSL證書(shū)斷供事件發(fā)生的更好選擇！

筆者不想在此評(píng)論這件事情的是非曲直，只是想一想中華電信CA為臺(tái)灣省政務(wù)網(wǎng)站和銀行網(wǎng)站簽發(fā)了3萬(wàn)多張有效期內(nèi)的SSL證書(shū)，這些用戶都要重新向其他CA申請(qǐng)新的SSL證書(shū)重新在幾萬(wàn)臺(tái)服務(wù)器上部署SSL證書(shū)，這給這些關(guān)基用戶帶來(lái)了多大的痛苦，筆者感同身受。相信國(guó)內(nèi)所有銀行IT人員也仍然對(duì)2017年賽門(mén)鐵克SSL證書(shū)不被信任時(shí)挑燈夜戰(zhàn)重新部署DigiCert SSL證書(shū)時(shí)的困難記憶猶新，而那次事件受影響是全球兩百多萬(wàn)個(gè)網(wǎng)站，幾乎全球所有銀行網(wǎng)站和許多政府網(wǎng)站部署的都是賽門(mén)鐵克SSL證書(shū)，也就是賽門(mén)鐵克花了12.8億美元收購(gòu)的VeriSign品牌SSL證書(shū)。這些已經(jīng)發(fā)生的安全事件引起了筆者深思SSL證書(shū)供應(yīng)鏈安全問(wèn)題。

大家千萬(wàn)不要以為這是小概率事件而不重視，去年11月份，谷歌決定不再信任曾經(jīng)是全球第二大CA的Entrust CA包括旗下AffirmTrust的所有根證書(shū)，也使得全球近60萬(wàn)用戶包括許多銀行和政府機(jī)構(gòu)都不得不重新向接手用戶的其他CA申請(qǐng)和重新安裝SSL證書(shū)！兩次不信任案件僅相差半年時(shí)間，誰(shuí)也不知道何時(shí)下一個(gè)遭遇不信任的是哪個(gè)倒霉的CA機(jī)構(gòu)，所以，全球CA機(jī)構(gòu)和所有SSL證書(shū)用戶都應(yīng)該高度重視和思考這個(gè)SSL證書(shū)供應(yīng)鏈安全問(wèn)題。

不僅由于技術(shù)層面導(dǎo)致了SSL證書(shū)供應(yīng)的不穩(wěn)定，而且地緣政治一樣會(huì)導(dǎo)致SSL證書(shū)供應(yīng)鏈斷裂問(wèn)題。3年前的俄烏沖突發(fā)生后，幾乎所有俄羅斯政府網(wǎng)站和銀行網(wǎng)站的SSL證書(shū)被吊銷和被斷供，這當(dāng)然是極少發(fā)生的極端安全事件，但結(jié)果也是一個(gè)SSL證書(shū)供應(yīng)鏈不安全的問(wèn)題。

SSL證書(shū)是一個(gè)重要的IT產(chǎn)品，一個(gè)密碼產(chǎn)品，一個(gè)有多家供應(yīng)商可以供貨的產(chǎn)品。既然是產(chǎn)品就有供應(yīng)鏈安全問(wèn)題，而SSL證書(shū)作為一個(gè)很重要的離不開(kāi)的安全產(chǎn)品，其供應(yīng)鏈存在很多不確定的因素，存在一個(gè)如果原供應(yīng)商無(wú)法供貨時(shí)，用戶很難馬上選擇新的供應(yīng)商給補(bǔ)上的問(wèn)題。因?yàn)橐坏㏒SL證書(shū)被吊銷，則網(wǎng)站馬上就無(wú)法正常訪問(wèn)了。即使原SSL證書(shū)不會(huì)被吊銷，但被斷供，則需要更換供應(yīng)商，需要重新向新的供應(yīng)商申請(qǐng)SSL證書(shū)，拿到證書(shū)后還要重新部署到Web服務(wù)器上去。一個(gè)網(wǎng)站還能應(yīng)付，集約化管理的政務(wù)云平臺(tái)要管理幾百個(gè)、幾千個(gè)甚至幾萬(wàn)個(gè)網(wǎng)站怎么辦？這些都是網(wǎng)站管理員必須考慮的問(wèn)題，特別是有很多網(wǎng)站系統(tǒng)的大型機(jī)構(gòu)，因?yàn)樗袠I(yè)務(wù)系統(tǒng)都需要一刻也不能中斷的HTTPS加密服務(wù)。

也許有讀者朋友會(huì)說(shuō)，必須選購(gòu)大品牌。賽門(mén)鐵克當(dāng)時(shí)就是全球第一大品牌(承接VeriSign / GeoTrust / Thawte等品牌)，一樣被“一鍋端”。Entrust曾經(jīng)是全球第二大CA，是僅比VeriSign晚4年的CA機(jī)構(gòu)，一樣被“一鍋端”。選擇第一大品牌也不一定可靠，無(wú)辜的用戶該怎么辦？是否有更好的選擇？連全球第一大CA也難逃被瀏覽器不信任的厄運(yùn)，全球所有CA機(jī)構(gòu)是否都應(yīng)該做好應(yīng)急災(zāi)備工作呢？

SSL證書(shū)自動(dòng)化管理能大大減輕SSL證書(shū)供應(yīng)不穩(wěn)定帶來(lái)的影響

為了保證HTTPS加密安全，國(guó)際標(biāo)準(zhǔn)已于5月16日發(fā)布了逐步縮短SSL證書(shū)有效期的時(shí)間表，明年3月15日縮短為200天，2027年3月15日起為100天，2029年3月15日起為47天。也就是說(shuō)，從現(xiàn)在開(kāi)始，用戶在選購(gòu)SSL證書(shū)時(shí)還需要增加一個(gè)考量，必須選擇能提供SSL證書(shū)自動(dòng)化管理解決方案的供應(yīng)商，因?yàn)槭謩?dòng)申請(qǐng)和部署SSL證書(shū)即將成為不可能。

目前，全球SSL證書(shū)中超過(guò)80%以上的SSL證書(shū)都已經(jīng)實(shí)現(xiàn)了自動(dòng)化管理，各大云服務(wù)提供商和CA機(jī)構(gòu)都已經(jīng)提供了SSL證書(shū)自動(dòng)化管理服務(wù)(ACME)。試想一下，如果臺(tái)灣省中華電信CA的用戶實(shí)現(xiàn)了SSL證書(shū)自動(dòng)化管理，則只需在服務(wù)器上修改ACME服務(wù)提供商的服務(wù)網(wǎng)址即可繼續(xù)享受SSL證書(shū)自動(dòng)化服務(wù)，這些用戶是影響最小的，這就是實(shí)施SSL證書(shū)自動(dòng)化管理的好處。

也即是說(shuō)，SSL證書(shū)自動(dòng)化管理能大大減輕SSL證書(shū)供應(yīng)不穩(wěn)定帶來(lái)的影響。如果出現(xiàn)SSL證書(shū)提供商無(wú)法供貨或故意斷供的情況，傳統(tǒng)的人工申請(qǐng)SSL證書(shū)和部署SSL證書(shū)的用戶是最痛苦的，而已經(jīng)實(shí)現(xiàn)了SSL證書(shū)自動(dòng)化管理的用戶就輕松多了，受影響的程度也是比較輕的。這也是谷歌在2023年3月提出的推動(dòng)90天有效期SSL證書(shū)自動(dòng)化時(shí)強(qiáng)調(diào)的理由之一：提升敏捷性和增強(qiáng)彈性。

作為SSL證書(shū)用戶，不要只關(guān)心證書(shū)品牌，因?yàn)檫x擇大品牌一樣也有可能遭遇斷供，用戶應(yīng)該關(guān)心的是SSL證書(shū)提供商是否能提供SSL證書(shū)自動(dòng)化管理解決方案，并加緊實(shí)施SSL證書(shū)自動(dòng)化管理，這不僅能大大減輕SSL證書(shū)管理負(fù)擔(dān)，更重要的是能大大降低如果自己網(wǎng)站部署的SSL證書(shū)被無(wú)奈斷供需要重新部署新證書(shū)的工作難度，因?yàn)檎l(shuí)也不能保證自己正在使用的SSL證書(shū)什么時(shí)候會(huì)被斷供，SSL證書(shū)的供應(yīng)鏈非常脆弱！積極擁抱SSL證書(shū)自動(dòng)化才是明智選擇，也已經(jīng)成為必須選擇的技術(shù)路線。

只有實(shí)現(xiàn)SSL證書(shū)自動(dòng)化管理+多通道簽發(fā)，才能真正解決SSL證書(shū)供應(yīng)鏈不穩(wěn)定難題

SSL證書(shū)自動(dòng)化管理非常重要，也是必選之路。當(dāng)SSL證書(shū)提供出現(xiàn)斷供時(shí)，用戶只需切換到其他能提供SSL證書(shū)自動(dòng)化管理的SSL證書(shū)提供商即可，但需要人工手動(dòng)修改每個(gè)網(wǎng)站的ACME服務(wù)網(wǎng)址和其他參數(shù)，需要重啟ACME服務(wù)和重啟Web服務(wù)器，這個(gè)對(duì)于有成百上千上萬(wàn)個(gè)網(wǎng)站需要管理的政務(wù)平臺(tái)、云平臺(tái)和大機(jī)構(gòu)來(lái)講，這還是一個(gè)很大的挑戰(zhàn)，而且可能對(duì)正在運(yùn)行的業(yè)務(wù)有短暫中斷。怎么辦？

也就是說(shuō)，要想保障網(wǎng)站系統(tǒng)的不間斷可靠運(yùn)行，僅有自動(dòng)化還是不夠的，特別是有大量網(wǎng)站系統(tǒng)需要管理的大型機(jī)構(gòu)，還需要能自動(dòng)化切換到其他SSL證書(shū)簽發(fā)通道的解決方案。也就是說(shuō)，僅有自動(dòng)化證書(shū)管理也會(huì)由于SSL證書(shū)供應(yīng)鏈的脆弱而變成了半自動(dòng)化！全球通行的SSL證書(shū)自動(dòng)化管理解決方案也其實(shí)都只是實(shí)現(xiàn)了半自動(dòng)化，還是有可能因?yàn)镾SL證書(shū)供應(yīng)的脆弱仍然需要人工介入解決SSL證書(shū)出現(xiàn)斷供的問(wèn)題。怎么辦？最佳解決方案就是多通道簽發(fā)證書(shū)+自動(dòng)化切換通道+自動(dòng)化證書(shū)管理，就是有多個(gè)SSL證書(shū)供應(yīng)商可以為用戶網(wǎng)站自動(dòng)化簽發(fā)SSL證書(shū)，并且有自動(dòng)化切換簽發(fā)通道系統(tǒng)，徹底解決SSL證書(shū)供應(yīng)鏈不穩(wěn)定的難題。

對(duì)于我國(guó)用戶來(lái)講，不僅僅是要解決雙算法SSL證書(shū)的自動(dòng)化管理難題，還要加上多通道簽發(fā)和自動(dòng)化切換簽發(fā)通道，還要解決Web服務(wù)器不支持國(guó)密算法的難題，特別是，如果Web服務(wù)器不允許安裝ACME客戶端軟件怎么辦？這些都是我國(guó)網(wǎng)站，特別是政務(wù)網(wǎng)站、銀行網(wǎng)站等有大量網(wǎng)站系統(tǒng)需要部署SSL證書(shū)和需要完成國(guó)密改造所遇到的技術(shù)難題，是否有更好的解決方案呢？

SSL證書(shū)供應(yīng)鏈穩(wěn)定，保障網(wǎng)絡(luò)服務(wù)不斷