证书自动化时代，选对自动化服务提供商是关键
2026年5月26日

现在的证书有效期为200天，明年3月15日将缩短为100天、2029年缩短至47天。这意味着，依赖人工处理、被动响应的传统SSL证书管理模式已彻底失效。SSL证书已经结束了长达32年之久的以年为签发周期的时代，正式进入证书自动化时代。

在证书自动化时代，拥有大量网站需要部署SSL证书的用户，特别是关键信息基础设施（关基）用户，不应该继续纠结SSL证书类型和证书签发CA，而应该只关注证书自动化解决方案，关注由谁提供证书自动化服务。本文以美国政府门户网站的SSL证书部署情况为例，给出我国关基用户应该如何选择双算法SSL证书自动化解决方案的建议，最重要的是如何选择证书自动化服务提供商，供采购决策者参考。

一、 美国政府门户网站是如何实现HTTPS加密的？

美国政府门户网站 www.usa.gov 部署的是完全免费的Let's Encrypt 90天有效期的DV SSL证书，一看就知道已经实现了SSL证书自动化管理。再通过查询国际证书透明日志系统历史数据就能证明这一点：从2023年4月6日起，该域名每隔60天就自动重签了一张新证书，已经持续了3年（19个续期周期），从未中断, 如下图1所示。

下载这张证书就能知道，这的确是一张仅验证域名所有权的DV SSL证书，如图2所示，并不是大家理所当然地想象应该申请的OV或EV SSL证书。因为对于美国政府官网而言，其网站身份不需要第三方CA来证明，只需通过技术手段让浏览器能验证用户访问的网站是 www.usa.gov 即可。大家还可以使用浏览器的“开发者工具”看到“网络连接”，如图3所示，采用了先进的TLS 1.3协议，密钥交换采用了后量子密码混合算法 X25519MLKEM768。这证明了该网站已经支持量子安全，能切实保证政务数据在现在和量子时代的持续安全。如果使用零信浏览器访问，还会看到加密锁标识后面显示“Q”标识，如图4所示，点击后显示“量子安全”和使用PQC算法X25519MLKEM768。这再次验证了美国政府门户网站已经支持后量子密码HTTPS加密，而不仅仅是实现了SSL证书自动化。

二、 美国经验对我国关基用户的借鉴意义

从上面的分析，我们至少可以总结出2点差距和经验，值得我国政府网站及所有关键信息基础设施运营单位学习与反思。

1. 证书自动化差距：人工管理已无可能，自动化是唯一出路

美国政府门户网站早在3年前就已经实现了证书自动化，每60天自动续期一次，连续运行19个周期从未出错。而我国政府门户网站、部委和省级政府官网，至今仍普遍采用人工申请、手动部署证书的传统模式。

更严重的是，我国政府网站大量采用不安全的通配证书。 用户愿意花比单域名证书贵5-10倍的价格购买通配证书，初衷就是为了“省事”，一张通配证书覆盖所有子域名，不用为每个新网站单独申请证书。然而，在不断缩短证书有效期的时代，这种“省事”已不再省事，并且是以牺牲安全为代价的：一张通配证书的私钥需要经手多人、通过多渠道在所有服务器中多处部署，任何一处被攻击或泄露，所有子域名网站私钥全部泄露。这种“一损俱损”的风险，在证书频繁更新的时代被进一步放大。

以我国一个省级政府云平台为例，假设管理着1万个政务网站。按100天证书有效期计算，每年需要人工处理5万次证书申请、验证、下载、部署、配置、测试操作。这意味着每天都要完成137次证书更换，稍有不慎就会导致业务中断。这不是工作量大小的问题，而是根本不可能完成的任务。

美国经验告诉我们：自动化不是“锦上添花”，而是应对证书有效期缩短的唯一可行路径。我国关基用户必须立即行动。

2. 后量子密码就绪差距：“先收集后解密”威胁已成现实，我国尚属空白

美国政府门户网站于2025年8月已经实现了采用国际混合PQC算法HTTPS加密，英国、法国政府门户网站也同步完成。截至2026年4月1日，全球互联网流量中已有68% 实现了后量子密码HTTPS加密，较2024年是5倍的增长。而我国政府门户网站、部委和省级政府官网，至今没有一个支持后量子密码。

为什么后量子密码不是“未来课题”，而是“现实威胁”？攻击者现在就正在大量收集加密数据并长期保存，等待未来量子计算机成熟后批量破解，这就是“先收集后解密”攻击。政务数据的保密期长达数十年，如果现在不启用后量子密码HTTPS加密，这些数据在量子时代将面临大规模泄露风险。

欧美已经行动，我国仍在观望。美国政府2024年发布《后量子密码迁移行政令》，要求联邦机构在2029年底前完成所有系统向后量子密码的迁移。而我国尚无任何政府网站启用后量子密码HTTPS加密，差距正在拉大。

美国经验告诉我们：后量子密码迁移不是“锦上添花”，而是保障数据长期安全的刚性需求。现在不行动，今天加密传输的所有机密信息，都可能在未来5年内变成“透明的裸数据”。

三、 数字认证自动化方案：比通配证书更省事，而且更安全

通配证书的“省事”是牺牲私钥泄露风险换来的。而数字认证的SSL自动化网关，不仅比通配证书更省事，而且更安全。

一句话总结：买通配证书是为了省事，但数字认证的SSL自动化网关让用户更省事：不用申请证书、不用管理私钥、不用操心续期、不用搞国密改造、不用管后量子密码迁移，全部全自动化完成！而且每个网站独立证书、独立私钥，私钥永不离开硬件。这才是真正的“省事又安全”。

四、 关基用户选择自动化服务提供商的三大误区

在与众多关基用户的交流中，我们发现很多客户仍然用“传统证书采购思维”来评估证书自动化方案，存在以下三大误区：

误区一：必须买OV或EV证书，DV证书不安全。

事实是：HTTPS加密强度与证书类型无关。DV、OV、EV证书在加密强度上完全一致，区别仅在于身份验证深度。在自动化时代，证书每30-80天自动更换一次，用户根本无需关心证书是DV还是OV，只要浏览器信任，加密效果完全相同。美国政府门户网站使用DV证书已稳定自动化运行3年，其运维人员之所以选择Let’s Encrypt的DV证书，当然还是考虑到其全球第一的可靠证书自动化服务。自动化方案的核心价值是确保证书永不断供、私钥永不泄露，而不是纠结于证书类型。

误区二：必须指定某家国际CA签发的证书。

事实是：任何单一CA签发的证书都有可能因技术故障、政策变化、地缘政治等原因断供。历史上多家知名CA机构(包括全球排名第一和中国排名第一的)曾因安全事件被浏览器不信任，导致几十万、几百万个网站紧急更换证书。聪明的做法不是绑定一家CA，而是选择具备多CA签发并能自动切换的证书自动化方案。 数字认证云PKI系统自主对接多家国际CA和国密CA，主CA故障时毫秒级切换，用户无感知。用户不需要关心证书由哪家CA签发，只需要关心自动化服务提供商能否保证证书永不中断。

误区三：自己用开源ACME客户端也能自动化，何必花钱买方案？

事实是：开源方案仅支持单一CA（如：Let's Encrypt），且仅支持国际算法，无法满足国密合规和量子安全要求。更重要的是，开源方案没有SLA保障，没有7×24小时技术支持，一旦出现故障，用户只能自行排查。对于关基用户而言，合规和业务连续性比省钱更重要。

五、 为什么证书自动化服务的“提供商”比“技术方案”更重要？

市场上已有不少号称证书自动化的解决方案，但技术方案只是工具，真正决定证书自动化成败的是持续、可靠的服务能力。关基用户在选择证书自动化服务提供商时，应重点考察以下能力：

一句话：技术方案可以复制，但持续、可靠的服务能力需要二十年积淀。数字认证正是这样的证书自动化服务提供商。

六、 数字认证为关基用户提供最合适的双证书自动化解决方案

在证书自动化时代，关基用户应该选择真正能通过一次改造搞定网站安全所需的多项安全合规保障措施的方案：证书自动化改造、国密合规改造、后量子密码迁移，而不是头痛医头、脚痛医脚的多次重复投资建设。

数字认证所有证书自动化解决方案默认配置国密OV证书 + 国际DV证书。既保障了国际证书自动化的顺利实施和降低用户成本，又满足了用户希望用OV证书来证明网站身份的需求，而这个身份认证是由具有二十多年CA资质的数字认证来完成，不仅验证快速，而且身份数据不出境，更是符合密评合规要求。

七、 证书自动化时代，不选证书，选方案；选完方案，更要选对服务提供商。

只有同时满足这三个标准的服务提供商，才能为关基用户提供真正可靠的证书自动化服务。

关基用户不应再纠结于SSL证书是DV、OV还是EV，因为HTTPS加密强度与证书类型无关。不应再纠结国际SSL证书由哪家CA签发，因为任何单一CA都有断供风险，只有具备多CA自动切换能力的方案才能保障业务永续。

数字认证，以先进的自动化方案和二十余年服务关基用户的优质能力保障，助力中国关基用户从容应对证书有效期缩短的挑战，同步完成证书自动化、国密合规改造和后量子密码迁移，切实保障我国数据在量子时代的持续安全。

证书自动化时代，选对方案，选对服务提供商！数字认证，不仅方案先进，更是优质持续自动化服务的不二之选。

SSL自动化团队
北京数字认证股份有限公司
2026年5月26日