根据2024年施行的《互联网政务应用安全管理规定》，政务网站系统必须使用电子政务电子认证服务机构签发的国密SSL证书来实现HTTPS加密访问。同时，使用内容分发网络（CDN）服务的，要求服务商将境内用户的域名解析地址指向境内节点。这意味着政务网站不仅必须使用国密SSL证书，还必须确保CDN服务商支持国密HTTPS加密和证书自动化能力。

政务系统面临三次不可回避的国产密码改造工作：第一次是支持国密TLCP（国标TLS 1.2），满足当前密评最低要求；第二次是支持TLS 1.3国密，强制前向安全；第三次是国产后量子密码改造。传统分三次改造不仅成本高昂、多次中断业务，更致命的是窗口期内数据持续暴露。数字认证SSL自动化网关一次部署同步完成三项改造，比等待国标出台的同行早三年获得前向安全和量子安全。

等保2.0（GB/T 22239）是信息系统安全等级保护标准，要求三级以上系统每年进行等级测评；密评（GB/T 39786）是对密码应用的合规性、正确性和有效性进行评估。政务云等保三级系统必须同时通过等保测评和密评。北京数字认证方案基于国密TLS 1.3，使用SM2/SM3/SM4国密算法和自动化配置国密OV证书，完全满足GB/T 39786要求，可顺利通过密评三级评估。

美国NIST已发布FIPS 203-206等PQC标准，要求联邦系统和国家安全系统在2030年前完成PQC迁移，2035年前完全禁用传统密码算法。美国政府已要求所有联邦网站启用后量子密码HTTPS加密，并且已经基本完成。我国商用密码标准研究院已启动新一代商用密码算法全球征集。政务数据保密期长达数十年，每延迟一天，“先收集后解密”攻击风险就增加一分。

攻击者当前大量收集加密流量，待量子计算机成熟后批量破解历史数据。政务数据（公民信息、审批记录等）保密期长达数十年，一旦泄露后果不堪设想。防范的唯一途径是立即部署后量子密码（PQC）HTTPS加密。数字认证SSL自动化网关率先支持国密混合PQC（SM2MLKEM768，IANA编号4590）和国际混合PQC（X25519MLKEM768，IANA编号4588），今天部署即获得量子安全，待我国纯国密PQC标准发布后可免费在线升级，无需二次采购。

在SSL证书有效期将缩短为47天背景下，通配证书的省事已不再“省事”。更严重的是，通配证书私钥在多个委办局、多台服务器间传递共享，任何一处泄露，所有政务网站全部沦陷。依赖单一CA品牌，一旦该CA断供或被浏览器不信任，所有证书集体失效。国密改造仍需逐一改造服务器，工作量大、风险高。一张通配证书覆盖所有子域名的“省事”时代已经终结。

双证书自动化是指网关自动完成国密OV证书和国际DV证书的申请、验证、部署和续期，5年零人工干预。面对证书有效期缩短至47天的趋势，人工管理已完全不可能。北京数字认证SSL自动化网关已对接多家国际CA和国密CA，毫秒级故障切换，即使某家CA断供或被浏览器不信任，自动切换至备用CA，业务零中断。一站一密钥一证书，彻底解决通配证书私钥共享的泄密风险。这是三次国密改造成功落地的基石。

《规定》明确要求政务应用使用CDN服务时必须支持国密HTTPS加密。如果CDN服务商不支持国密算法和后量子密码，则无法满足规定和密评合规要求。北京数字认证建议政务云平台督促CDN服务商立即开展技术合作改造，支持：证书自动化API对接、国密HTTPS加密（至少支持国密TLCP，强烈建议支持TLS 1.3）、混合后量子密码算法。若无法完成改造，应停止使用该CDN服务，改用自建网关方案，确保合规与安全。

自动化网关采用反向代理模式，至少双机热备部署于政务云数据中心前端。原Web服务器无需任何改造，仅需将域名解析指向网关。即使是最老旧的、无法停机的业务系统，也能无缝获得国密HTTPS加密、后量子密码保护、A级WAF防护和双证书自动化管理。网关有100个和255个网站两个规格，支持公网域名、内网IP和内部主机名，适用于各委办局集中统一管理，同时满足等保2.0对WAF防护的强制要求。

等保2.0强制要求三级系统部署WAF防护。但传统WAF需人工导入证书，证书过期即失效，且普遍不支持国密算法和后量子密码。北京数字认证SSL自动化网关一体化内置A级WAF，架构为：先解密HTTPS（支持国际和国密），再将明文流量交WAF清洗，WAF无需持有证书，永不因证书过期失效。防护性能A级，真阳率98.06%，假阳率0%，原生支持国密和PQC，满足等保2.0强制要求，无需单独采购WAF设备。