全球CA将于2026年3月15日起只能签发最多200天有效期的SSL证书,笔者同多个SSL证书的大用户聊起这事时,大家几乎毫不犹豫地说:那就赶在明年3月15日之前把所有需要续期的SSL证书都提前采购。这绝对是一个浪费钱的下下策,笔者今天就讲一讲上上策是什么,值得所有SSL证书用户深思并做出正确的决策。
SSL证书是实现HTTPS加密所必须的产品,自从SSL证书在1994年被发明以来就是用户必须采购的产品,但是31年后的今天,这个产品已经不再是一个值得采购的产品了。全球11亿张SSL证书中超过80%的都是免费自动化签发的,也就是说,全球80%用户都已经不再采购SSL证书,不再需要花一分钱。就连最不差钱的美国政府官网也是在使用Let’s Encrypt自动化签发的免费90天SSL证书。
用户不再采购SSL证书当然不等于HTTPS加密不需要SSL证书,国际解决方案是需要用户在Web服务器上安装一个ACME客户端软件,就可以一劳永逸实现自动化配置免费SSL证书实现HTTPS加密,不用花钱!或者可以使用Cloudflare CDN服务,也不用操心花钱去买SSL证书和安装SSL证书,启用服务就已经免费自动化配置好SSL证书和启用HTTPS加密!还在卖SSL证书的CA机构DigiCert和Sectigo已经从全球第一第二位跌到了第5和第7位。这些现实数据非常值得CA机构(包括SSL证书销售机构)深思:我还在销售SSL证书是否走错了方向?当然也非常值得SSL证书用户深思:我还在大把花钱采购SSL证书是否值得?采购决策是否正确?
逐步缩短SSL证书有效期为47天的国际标准已经落地,市场上又有完全免费的SSL证书可以自动化获取,为何SSL证书用户还要计划在缩短SSL证书有效期生效之日之前去抢购一批一年期SSL证书呢?这是稀缺性在作怪,这是惯性思维在作怪!毕竟这个人工申请证书的惯性动作已经习惯了31年。
请大家想一想,就算你突击采购了一年期SSL证书,你还得辛苦去服务器上安装,2027年3月15日之前还是必须去实现证书自动化,为何不现在就马上拥抱SSL证书自动化,一劳永逸的解决这个问题呢?何必还要去多花一年的证书采购冤枉钱呢?只需马上采取行动实施证书自动化,那以后再也不用费心费钱去采购SSL证书和费心费工夫去安装SSL证书了,再也不用每年花钱了!有省心和省钱的方案,为何还要去做一点都不省心和不省钱的事情呢?所以,笔者才称“缩短SSL证书有效期为47天”是一场技术革命,一个从“人工管理”到“自动化管理”的技术革命,所有消极思维的人都会抵制所有革命,所以才会做出突击采购一年期SSL证书的错误决策,这是消极应对,下下策!
唯一正确的决策是:马上规划和实施SSL证书自动化管理解决方案,这才是上上策!对于我国政务系统和网银系统这些关键信息基础设施运营单位,必须规划和实施双算法(SM2/RSA)SSL证书自动化管理解决方案,同时把国密HTTPS加密改造问题一起解决,因为传统的密改方案还是让用户去采购国密SSL证书手动部署到网关或者改造Web服务器支持国密算法并手动安装国密SSL证书。
上上策就是采购能免费自动配置双算法SSL证书的国密HTTPS加密自动化网关,一次采购和部署,就能管5年最多255个网站的HTTPS加密自动化和WAF防护,无需再花钱采购SSL证书,无需费力安装SSL证书,无需费力安装ACME客户端软件,Web服务器也无需升级改造支持国密算法,原Web服务器零改造,业务零中断,这才是一劳永逸的最佳解放方案,上上策。
对于少量国际SSL证书用户,最佳方式是直接采用市场上现成的SSL证书自动化解决方案—在Web服务器上一次安装ACME客户端软件,这是一劳永逸的解决方案。而对于已经采购了大量SSL证书用户和需要国密改造的用户,意味着有大量的网站系统需要实现证书自动化,不推荐人工去每台服务器安装ACME客户端软件和为每个网站配置自动化服务,工作量巨大不说,还会影响现有系统的正常运行,因为在现有系统中安装一个第三方软件,一定会影响现有系统的正常运行。怎么办?必须采用微改造的方案—部署国密HTTPS加密自动化网关。
为了对比“突击批量采购SSL证书”和采购“HTTPS加密自动化网关”的优劣,以某大型国有银行为例,目前每年都采购了七百多张全球最贵的国际SSL证书,证书采购费用一定超过700万元,这还只是国际SSL证书的采购费用,不包括国密SSL证书的采购费用,因为国密SSL证书还都不支持证书透明,所以无法从证书透明日志数据库中查到采购数量,暂按300万元估算。这样,双算法SSL证书合计每年SSL证书采购费用为1000万元,实际采购金额一定大于这个数字,笔者引用此大致数据只是为了对比说明突击采购SSL证书的决策是何等严重的错误决策。
正确的决策是:不采购SSL证书,而是把每年采购国际SSL证书和国密SSL证书的1000万元用于采购零信国密HTTPS加密自动化网关,可以采购20台网关,这20台可以分为5组,每组4台网关,每组最多支持255个网站,合计支持1275个网站,这应该能满足此银行目前的业务和将来5年的发展需要。由于零信网关不仅硬件包用5年而且含5年的双算法SSL证书,也就是说只需花一年采购SSL证书的钱,就可以管5年的1275个网站的HTTPS加密自动化和WAF防护自动化,并且是双算法SM2/ECC支持,同时自动化完成了所有网站系统的国密改造和IPv6改造。这绝对是一个非常超值的产品升级换代采购方案,这才是上上策的方案,不仅节省了4年的证书采购费用4000万元,而且省事(无需申请和部署SSL证书),更安全(证书私钥不出网关,不再需要多人经手处理),更可靠(再也不会因为忘记证书续期而导致业务中断)。
这就印证了一句俗话“不比不知道,一比吓一跳”,两个采购决策的优劣是如此之大,相信这个对比一定能惊醒所有决定突击采购SSL证书的决策者。但是,为何这些用户会想到突击采购的决策呢?一个原因当然是用户可能不知道还有更好的省钱的自动化解决方案,这就是笔者决定写这篇文章的原因,要让正在寻求解决方案的用户了解市场上已经有了比突击采购SSL证书更优的方案。另一个原因则是对新技术和新事物的抵触,不敢尝试打破传统的创新方案,这个决策的确需要一点魄力。其实,用户完全没有必要担心新方案的可靠性,零信技术提出的是并联接入方式,用户可以在保留现有架构的情况下,并联接入零信国密HTTPS加密自动化网关,先平行运行一段时间直到现有网关系统的SSL证书过期后就可以自然淘汰不支持证书自动化的老网关了,这就可以平稳地从人工管理证书过渡到自动化管理证书,证书过期后就不再需要继续采购SSL证书了,所以,用户必须在现有证书到期前半年部署零信国密HTTPS加密自动化网关,以便有时间考验新方案的可靠性,也就可以放心地顺利地完成SSL证书自动化管理技术改造了。
通过以上的两个采购方案的对比,大家一定也会认可采购国密HTTPS加密自动化网关是上上策,而传统方案采购SSL证书则是下下策。其实,零信技术的创新解决方案还有一个更吸引人的承诺。由于实现了双算法SSL证书的自动化管理,为下一个HTTPS加密技术革命—“从传统密码到抗量子密码”打下了技术基础,这个技术革命的到来时间是2029年12月31日,零信技术正在打造后量子密码HTTPS加密全生态产品,一旦产品成熟,用户只需免费自动升级零信浏览器和零信国密HTTPS加密自动化网关,即可无缝无感地升级到后量子密码HTTPS加密,轻松完成后量子密码的迁移,有力保障了重要业务数据在后量子密码时代的始终不间断安全。
零信技术的创新解决方案能让用户只需一次技术改造就可以完成HTTPS加密即将来临的两次技术革命,这才真正是上上上策。