密改和密评必须与时俱进：一次改造，同步完成国密合规、证书自动化与后量子密码就绪2026年6月10日

密评（商用密码应用安全性评估）和密改（密码应用改造）是落实《密码法》、保障关键信息基础设施安全的重要抓手。近年来，我国在密评和密改方面取得了显著成就，越来越多的政务系统、金融系统完成了国密改造，通过了密评。然而，随着《互联网政务应用安全管理规定》的施行，以及国际标准对SSL证书有效期的断崖式缩短，再加上量子计算威胁的日益迫近，传统的“为了过评而改造”的思路已经远远不够。

密评和密改必须与时俱进。 今天，关基用户需要的不是一次性的、勉强“过评”的改造，而是一次改造就能同时满足国密合规、证书自动化、后量子就绪三重目标的系统性升级。更重要的是，密评是每年都要进行的持续评估，任何“临时抱佛脚”的改造都无法应对逐年收紧的合规要求和不断演化的安全威胁，更是无法真正实现用密码来保障关基系统的安全可靠运行。

一、 当前密改的痛点：治标不治本，难以持续合规

根据公开数据，全国党政机关、事业单位网站总数超过11万个，但截至2026年初，仅有不到20%的网站部署了国际SSL证书，部署国密SSL证书的网站更是屈指可数。造成这一局面的根本原因，并非经费问题，而是手工部署证书的难度太大。一个省级政务云平台管理着成百上千个网站，靠人工申请、验证、部署、续期证书，几乎不可能。

更严重的是，许多单位为了“过密评”，往往采用“最小化”改造方案：为一个核心网站申请一张国密SSL证书，部署到某台服务器上，再配一个国密浏览器，能显示“国密加密”就算过关。这种“盆景式”改造完全违背了密评的初衷，密评要求的是“有效性”，即密码应用必须真正保障业务系统的安全运行。一个只覆盖了少数边缘网站、无法自动化续期、不兼容主流浏览器的改造方案，在每年一度的密评中迟早会暴露问题，无法保障重要业务系统的安全可靠运行。

二、 三重挑战倒逼密改必须升级

挑战一：国密改造仍不彻底，合规风险犹存

密评每年都要进行，如果改造方案不能持续、自动地保障所有政务网站的国密HTTPS加密，那么每年的密评都可能成为“过关”的煎熬，也极有可能无法“过关”。

挑战二：SSL证书有效期急剧缩短，手工管理已无可能

2026年3月15日起，SSL证书有效期已从1年缩短至200天；2027年将缩至100天；2029年将缩至47天。对于管理着数百上千个网站的关基用户而言，这意味着每年需要人工处理数千次甚至上万次的证书申请、验证、部署操作。这不是“工作量大小”的问题，而是根本不可能完成的任务。如果不实现证书自动化，未来的密评根本无法通过“网络和通信安全”这一核心项。

挑战三：国密算法同样不抗量子，后量子迁移刻不容缓

国密SM2算法虽然自主可控，但同RSA、ECC算法一样，都属于传统公钥密码算法，在量子计算机面前不堪一击。攻击者现在就已经大量收集加密数据，等待未来量子计算机成熟后批量破解，这就是“先收集后解密”安全威胁。欧美政府网站、银行系统已大规模部署混合后量子密码（PQC），而我国尚属空白。

如果今天的密改只做国密改造，而不考虑后量子密码迁移，那么几年后这些系统仍然要面临第二次大规模改造。 但到那时，机密数据可能已经被窃取了数年，而即使完成后量子密码改造，宝贵的历史数据泄露已无法挽回，代价也将成倍增加。

三、 数字认证的解决方案：一次改造，同步完成国密合规、证书自动化与后量子密码就绪

作为拥有二十余年CA资质、服务关键信息基础设施的国有控股上市企业，数字认证已为多家政府、金融、能源关基用户成功完成了国密改造。在此基础上，我们进一步推出传统SSL网关的升级产品：SSL自动化网关，帮助用户以“一次改造”实现三重目标：

1. 国密改造一键完成，持续合规

2. 双证书全生命周期自动化，从容应对有效期缩短

3. 后量子密码就绪，一步到位防御未来威胁

四、 数字认证的技术实力与成功案例

这些案例证明，数字认证的方案不仅技术上领先，而且能够在大规模、高要求的关基环境中稳定运行，确保每年密评的持续合规。

五、 密改不能“为评而改”，必须面向未来

密评是手段，不是目的。真正的目的是保障政务、金融、能源、卫生等关键信息基础设施的数据安全。因此，密改必须具有前瞻性，不能仅仅为了应付当年的密评而做“盆景工程”。

一次改造，同步完成国密合规、证书自动化和后量子密码就绪。这是数字认证为关基用户提供的面向未来的密改方案。它不仅能让用户从容应对每年一次的密评，更能保障关基数据在量子时代的持续安全。

密评和密改必须与时俱进。数字认证愿与用户携手，共同迎接量子时代的挑战。

SSL自动化团队
北京数字认证股份有限公司
2026年6月10日