双算法SSL证书
自动化管理解决方案

一次改造，同时解决证书自动化、国密改造、后量子密码迁移、
WAF防护四大难题

政务云平台密码保障体系：亟需一次升级解决五大难题
一次改造，同时完成证书自动化、国密改造、后量子密码迁移、WAF防护

一、政务云密码安全现状：五大难题正在叠加

相关法律法规对各级党政机关和事业单位的互联网政务应用提出了极为严格的安全要求。然而，在这些刚性合规要求的背后，各级政务云和政务应用系统正面临着五大难题叠加的严峻挑战。政务应用系统的体量大、架构复杂、合规要求更严格，各省各部委都建设了政务云平台，集中承载着成百上千个设置上万个政务网站和政务服务系统。急需能通过一次彻底的技术改造，同时解决网站安全面临的五大难题。

难题一：证书自动化改造，2027年大限迫在眉睫，通配证书“省事”时代终结

SSL证书有效期已缩短至200天，2027年3月将进一步缩短至100天，2029年将降至47天。更紧迫的是，2026年突击采购的最后一批一年期证书将在2027年3月集中到期。届时，如果不能实现证书自动化，运维团队将在短短几周内面临数千甚至上万次证书更换操作，业务中断风险呈指数级上升。不实现自动化，2027年3月就是业务停摆的“死线”。

过去，许多政务云平台图省事，一张通配证书覆盖所有局委办子域名，私钥经手多人通过各种方式在数十台甚至数百台云服务器中共享部署使用。任何一处泄露，所有网站全部沦陷。不断缩短的证书有效期，使得通配证书这一被使用了32年的“省事”方案彻底失效！

难题二：国密改造，传统改造方案不支持前向安全，必须二次改造

《密码法》、密评等政策法规明确要求政务应用必须使用国密算法并完成密评，要求政务网站系统必须使用国密SSL证书来实现HTTPS加密方式访问，也就是HTTPS加密必须同时支持国密算法和国际算法。许多政务云正在或已完成国密改造，但传统方案基于TLCP协议（对标TLS 1.2），不支持前向安全。一旦国密SSL加密证书私钥泄露，攻击者可以解密所有历史加密数据，公民个人信息、政务审批记录、内部工作文件，将无一幸免。

同时，国密SSL证书的有效期也会同步缩短，也需要实现自动化管理。已经改过的，还得再改（升级到TLS 1.3国密+前向安全）。

难题三：混合PQC加密改造，“先收集后解密”威胁已经存在，必须马上行动

“先收集后解密”攻击已是现实威胁。攻击者现在就可以大量收集采用传统密码加密的数据并长期保存，等待未来量子计算机成熟后批量破解。政务数据的保密期长达数十年，今天不保护，将来可能全部成为明文！

美国政府已要求所有政府网站系统现在就要启用后量子密码HTTPS加密，以防止“先收集后解密”攻击。英国政府门户网站、法国政府门户网站也已启用后量子密码HTTPS加密。根据Cloudflare统计数据，全球互联网流量中采用混合后量子密码HTTPS加密的流量已高达68%。然而，我国政府网站目前没有一个支持后量子密码HTTPS加密。每延迟一天，政务数据泄露的风险就增加一分。

难题四：后量子密码迁移，2029年大限，3年内必须完成

无论现在使用国际RSA/ECC算法还是国密SM2算法，传统密码算法在量子计算机面前都不堪一击。国际共识已明确：传统密码算法将于2030年弃用、2035年禁用。谷歌更率先将内部系统PQC迁移期限提前至2029年。2025年8月26日，国务院发布的《关于深入实施“人工智能+”行动的意见》指出“加强人工智能与量子科技等领域技术的协同创新”，后量子密码是量子科技的最重要组成部分之一，是目前唯一确定的能有效保障数据在现在和量子时代安全的密码技术。

从现在算起，留给政务云平台的纯后量子密码迁移时间不足3年，必须提前布局，避免届时仓促应对、二次投资。

难题五：WAF设备升级改造，传统WAF不支持证书自动化，将成“废铁”

等保2.0要求网站必须部署WAF防护。然而，传统WAF设备和云WAF服务需要人工每半年、每季度、每个月导入私钥和SSL证书，一旦遗漏，WAF因证书过期无法解密HTTPS流量，业务中断。更严重的是，传统WAF设备和云WAF服务普遍不支持国密算法，国密改造后WAF形同虚设。不支持证书自动化的WAF设备，在证书有效期不断缩短的时代，就是一堆废铁。

以上五大难题叠加，传统“头痛医头”的方案已经彻底走不通。

二、市场上现有方案为什么不行？

面对五大难题，市场上存在多种“点状”解决方案，但无一能一揽子解决：

(1) 突击采购的一年期证书：

只能拖延到2027年3月，到期之后怎么办？

(2) 部署ACME客户端：

只能解决国际证书自动化，不支持国密算法、后量子密码算法，且需每台服务器安装ACME客户端软件，政务云服务器众多，改造工作量巨大。有些正在运行的业务系统服务器根本不能动，无法安装ACME客户端软件和国密算法支持模块。

(3) 传统国密SSL网关：

不支持证书自动化，不支持后量子密码，不支持国密TLS 1.3前向安全。

(4) 3年内单独采购PQC网关：

重复投资，且需二次部署、二次集成。

(5) 继续使用通配证书：

私钥共享，一损俱损，证书有效期越短越危险，已经不再“省事”。

这些方案不仅无法同时解决五大难题，反而导致设备堆叠、运维复杂、投资浪费。政务云平台需要的是一次改造、同步解决的一体化方案。

三、数字认证方案：数字认证SSL自动化网关——五大难题一次解决

数字认证深耕密码应用二十余年，专为政务云打造了数字认证SSL自动化网关。至少双机热备部署于政务云数据中心前端，无需改造现有Web服务器，即可同时完成证书自动化、国密改造（TLS 1.3前向安全）、后量子密码迁移、WAF防护升级，顺带解决IPv6改造。

3.1 证书自动化：多CA自动切换，5年零运维

多CA自动切换：

已对接多家国际CA和国密CA，毫秒级故障切换，确保证书永不断供。一旦出现类似俄乌冲突证书断供的地缘政治安全事件，可立即切换证书签发通道，政务业务零影响。

全自动生命周期管理：

自动完成证书申请、验证、部署、续期，5年零运维。

一站一密钥一证书：

每个网站独立私钥、独立证书，彻底告别通配证书共享密钥的“一损俱损”的风险。

提前应对2027年大限：

突击采购的一年期证书到期前，网关自动接管所有网站HTTPS加密，无缝切换至自动化证书管理，业务零中断。

支持公网域名、内网IP、内部主机名，覆盖政务云所有互联网应用及内网系统。网关有100个网站和255个网站两个规格，可根据未来发展灵活选择。

3.2 国密改造：TLS 1.3前向安全，无需二次改造

原Web服务器零改造：

网关前置部署于政务云前端，自动实现国密HTTPS加密，无需修改政务应用业务系统代码。

率先支持TLS 1.3国密算法：

实现前向安全，确保即使未来私钥泄露，历史加密数据也无法被解密。

国密证书自动化：

国密OV证书自动签发、自动续期，无需二次改造。

3.3 双混合PQC加密就绪 + 后量子密码平滑迁移，最可靠的量子安全方案

全球独家支持双混合PQC算法：

国密混合PQC（SM2MLKEM768，IANA编号4590）+ 国际混合PQC（X25519MLKEM768，IANA编号4588）。网关自适应加密：零信浏览器优先采用国密混合PQC，其他浏览器采用国际混合PQC。

仅支持国际混合PQC是不够的：

第一，不满足国密合规要求（密评强制要求国密算法）；第二，单算法不具备韧性，没有任何一个PQC算法能被证明100%绝对安全。采用国密+国际双混合PQC相当于为量子安全上了“双保险”。

与国际接轨：

美国政府要求所有政府网站系统现在就要启用后量子密码HTTPS加密，英国政府和法国政府门户网站已启用后量子密码HTTPS加密。我国政务云应采用双混合PQC方案，与国际先进水平同步，防止“先收集后解密”攻击。

部署即启用：

所有网站即刻获得抗量子攻击能力，有效防御“先收集后解密”威胁。

未来免费升级：

我国正式发布纯国产PQC算法后，网关提供免费在线升级，无缝过渡至纯PQC加密，满足2029年大限。

3.4 A级WAF防护自动化，永不因证书过期失效

一体化架构：

网关先完成HTTPS解密（国际+国密），再将明文流量交给内置WAF模块清洗。

WAF无需持有证书：

永不面临证书过期问题，彻底杜绝传统WAF“证书过期即废铁”的窘境。

A级防护性能：

真阳率98.06%，假阳率0%，满足等保2.0强制要求。

无需单独采购WAF设备，降低总拥有成本。

3.5 IPv6支持，原服务器零改造

网关默认支持IPv4+IPv6双栈，原服务器无需任何改造，自动满足IPv6合规要求。

四、持续服务能力：技术之外，更需可靠保障

技术方案可以复制，可以被模仿，但持续、可靠的服务能力需要多年的积淀。数字认证二十多年服务关键信息基础设施用户的独特价值，不仅在于技术领先，更在于“技术领先 + 服务兜底”的双重保障。

能力维度

数字认证的保障

资质与合规

拥有CA牌照、国密产品资质、等保三级、信创适配认证，二十年服务关基用户零事故

多CA供应链管理

自主对接多家国际CA和国密CA，不依赖任何单一CA，确保证书永不断供

私钥安全保障

网关硬件级私钥生成与存储，私钥永不离开设备，杜绝人为泄露风险

持续运维能力

7×24小时原厂技术支持，5年服务周期内免费升级算法、免费续期证书

应急响应能力

一旦出现CA断供或浏览器不信任事件，数字认证可立即切换证书签发通道，用户业务零影响

五、一次改造，五年无忧：政务云的明智之选

数字认证SSL自动化网关，让政务云用一次技术改造，同时获得：

证书自动化（应对2027年大限及未来47天有效期，告别通配证书）

国密改造 + TLS 1.3前向安全（无需二次改造）

双混合PQC加密就绪（今天部署今天保护，防御“先收集后解密”）

后量子密码平滑迁移（免费升级，满足2029年迁移大限）

A级WAF防护自动化（永不因证书过期失效，真阳率98.06%）

私钥硬件级保护（一站一密钥，无人能触及）

IPv4+IPv6双栈支持（原服务器零改造）

5年免费硬件更换 + 免费算法升级

数字认证SSL自动化网关，五大难题一次解决；至少双机热备，更有保障；一次投资，五年无忧。

六、CDN场景的补充方案：数字认证SSL自动化云服务

《互联网政务应用安全管理规定》明确要求，政务云使用的CDN服务也必须支持国密HTTPS加密。目前，各部委和多个省级政务云已经广泛使用CDN服务。如果政务云平台所使用的CDN服务不支持国密算法，则无法满足《互联网政务应用安全管理规定》的合规要求，无法通过密评。而不支持混合PQC，则是根本无法保障政务数据在量子时代的长期安全。

为此，数字认证郑重建议：政务云平台应督促其正在使用的CDN服务商立即联系数字认证，开展技术合作改造，使其CDN服务能够支持：

1.证书自动化：

开放标准API接口，对接数字认证云PKI平台，实现双算法SSL证书的自动化申请、验证、部署和续期。

2.国密HTTPS加密：

至少支持国密TLCP协议，能够正常部署国密SSL证书，满足密评要求。强烈建议支持国密TLS 1.3协议，实现前向安全，确保即使未来私钥泄露，历史加密数据也无法被解密。

3.后量子密码：

支持混合后量子密码算法（国际X25519MLKEM768及国密SM2MLKEM768），即刻防止“先收集后解密”攻击。

如果CDN服务商无法在合理期限内完成上述改造，无法满足合规与安全要求，政务云平台应果断停止使用该CDN服务，改用自建网关负载均衡方案，以确保政务网站系统的安全合规。

数字认证已具备成熟的证书自动化云服务能力，可协助CDN服务商快速完成技术对接与改造。欢迎各CDN服务商主动联系数字认证，共同为政务云提供合规、安全的加速服务。

七、结语

数字认证SSL自动化网关与SSL自动化云服务，共同构成政务云密码保障体系的完整解决方案。政务云数据中心部署SSL自动化网关，为大多数政务系统直接提供网站安全保障服务，而部分采用CDN加速模式的网站需要求CDN服务商尽快整改以满足合规要求。

数字认证，SSL证书自动化领导者，以持续二十多年的可靠服务，助力政务云从容应对证书有效期缩短、国密合规、量子威胁，切实保障公民个人信息和政务数据在量子时代的持续安全。

2027年大限将至，立即行动，让您的政务云平台密码保障体系迈入自动化与量子安全新时代！

双算法SSL证书自动化管理解决方案

一次改造，同时解决证书自动化、国密改造、后量子密码迁移、WAF防护四大难题

政务云平台密码保障体系：亟需一次升级解决五大难题一次改造，同时完成证书自动化、国密改造、后量子密码迁移、WAF防护