TLS/SSL证书是一种数字证书,它采用非对称密码技术在网站和浏览器之间建立加密连接来保护数据传输的安全性,并验证网站的真实身份,从而防止信息泄露和欺诈行为。
2025年4月,CA/B论坛正式通过SC-081提案,将TLS/SSL证书的有效期从398天缩短到47天。这一历史性调整,直接影响了企业的证书运维策略,让“幕后”的行业规则首次以切实的运维压力被更多用户切身感知。
大家所不知道的是,从Let’s Encrypt于2015年9月进入市场以来,数字证书行业在10年间已经发生了多次重大变革,有些企业因无法跟上变革而被淘汰,也有新进的企业抓住了产业升级的机会而脱颖而出。
在这场持续十年的行业重塑中,成立于2013年的亚数TrustAsia作为中国CA领域的重要参与者,正展现出厚积薄发的竞争力。如今,它已稳步成长为推动“证书自动化”在中国乃至亚太市场落地的关键力量。多项“亚太第一”、“亚太唯一”的业界成就,正是其精准洞察行业趋势、引领技术变革的有力证明。
TLS/SSL证书有效期缩短至47天?他们早有办法。
要求CA必须入“专用根”,他们也已就绪。
CT(证书透明度)领域,欧美企业普遍对内外部合规和安全要求极高,亚数TrustAsia不惜每年投入数百万人民币,硬是成为了全球仅有的8家CT服务商之一(亚太唯一)。
此前,亚数TrustAsia举办了一场发布会,推出CaaS(Certificate as a Service)证书即服务,他们要推动国内乃至亚太地区的CA自动化新生态。
本篇专访,谭校长为我们找到了亚数TrustAsia的CEO翟新元,从二位的谈话中,我们才了解到,CA产业过去十年时间经历的一些惊涛骇浪。然而,成功的领航者,就是能够在风暴中找到机会。
翟新元 亚数TrustAsia CEO
惊变47天?
证书即服务(CaaS)是解药
谭晓生:听说亚数TrustAsia推出了证书即服务(CaaS),能给我们介绍一下吗?
翟新元:在今年上半年,全球主流浏览器和操作系统厂商,包括谷歌、苹果、微软、Mozilla等巨头提出把TLS/SSL证书周期从以前的398天压缩到47天。原计划节点在2028年,但考虑到全球生态系统的适应情况,这一节点被延后到了2029年3月15日实施。
这件事情其实传递了一个明确的信号:如果整个行业不实现证书管理的自动化,未来将很难应对越来越短的证书生命周期所带来的运维风险。
正是基于这样的判断,我们推出了“证书即服务(CaaS)”。
什么是证书即服务?用一个比较生活化的比喻来说,我们这代人都经历过用煤气罐的日子。一个月换一次还能接受;但要是两天就得换一次,谁都受不了。证书有效期的缩短,其实也是同样的道理——频率越高,人工介入越多,出错的可能性也就越大。
现实中,很多企业的证书部署还停留在人工操作阶段。哪怕是全球领先的科技公司,也曾因为证书过期或配置错误,导致业务中断。不是技术不行,而是证书管理本身就繁琐,人工更新太频繁,出问题几乎难以避免。
现在想想,天然气入户之后,几乎没人再去搬煤气罐了。而“证书即服务”,其实就是让证书管理进入了“管道化”的阶段。我们把将原本需要人工介入的申请、更新、部署流程全部实现自动化,用户只要像用水电一样按需使用就行。对企业来说,这不仅是效率的提升,更是一种稳定、可持续的安全保障。
谭晓生: CaaS(Certificate as a Service)说是“证书即服务”,那它具体提供的是哪些服务?
翟新元:如果从证书申请到使用来看,我们的核心就是把整个流程做到极致的自动化和便捷化。
首先,在组织信息认证这一环,组织认证无需再提交一大堆营业执照复印件等资料,只需使用工商备案电话接收验证码,即可自助完成。其次,在域名验证环节,我们已与多家DNS服务商打通,全程自动完成。还有在证书签发之前的信息校验环节,我们支持ACME协议,也提供开放API与命令行工具,用户一条命令即可生成密钥、上传CSR,并在数秒内完成签发。
当然,光有签发自动化还不够,这并不能真正称为“证书即服务”。证书不是拿到就结束了,背后还有更复杂的管理问题。
很多大型企业一次要管理上千张证书,每张都对应一对密钥。有效期缩短到47天后,这种匹配关系会急剧复杂,不少客户甚至用Excel管理,结果越管越乱,越管越头大。
所以我们在服务体系里专门设计了一个平台,叫CertManager。它打通了证书的签发与分发流程,帮助客户完成全生命周期的密钥管理,并提供完善的API接口。运维人员可通过CertManager实现证书自动更新与分发,确保密钥始终最新、证书不过期,整个过程安全、顺畅、可控。
谭晓生:这套方案在国内落地顺利吗?
翟新元:目前推进得还不错,但要真正落地,光靠我们一家企业是不够的。
其实当我们一开始把“47天”的新规消息分享给行业时,很多人第一反应都是:“有没有解决方案?”
亚数已经有了方案,但这件事必须要产业链一起做。证书自动化不是单点能力,而是生态协同。我们可以把证书的签发做到自动化,但如果部署端跟不上,用户还是会遇到问题。这也是我们举办发布会的初衷,就是希望推动国内完整的证书自动化生态建设。
在实践中,我们已经和信安世纪等厂商完成了对接。当然,让证书和各类硬件网关真正打通,远不只是支持ACME协议那么简单。每个网关都有自己的私有协议,随着证书有效期缩短,他们的服务压力也越来越大。
另一方面,硬件厂商对CaaS也很关注。过去他们每年都希望收设备的维保费,但客户支付意愿不高。现在,如果把证书服务和维保打包在一起,形成订阅模式,就能让维保服务更易被接受,也更规范化。
从市场的角度来看,其实中国市场规模比整个欧盟还大。如果我们能先把CaaS在国内落地成熟,再用这个经验服务全球,这个业务就非常有想象空间,我们就可以逐渐更有能力成为一个全球化的公司。
目前,我们的主营业务已经在东南亚取得落地,同时我们也在上海浦东和松江建立了双活数据中心,为业务的高可用性和稳定运营提供了有力保障。有了这些基础打底,我们有信心一步步成长为具有国际竞争力的数字证书服务商。
从Web到万物:
亚太地区首家Matter PAA厂商的先行之路
谭晓生:听闻你们还在推Matter证书,这是什么?
翟新元:先说一下“Matter”这一概念,Matter是连接标准联盟(CSA)推动的物联网互联协议,简单来说,它能让苹果、谷歌、亚马逊等厂商的智能家居设备互联互通。
为确保设备通过Matter协议认证,Matter要求设备必须通过第三方CA认证。我们抓住机会,成为中国、也是亚太地区首家Matter PAA机构,为广大智能家居厂商提供高效的设备认证证书(DAC)颁发和管理服务,帮助他们在全球范围内实现高效、安全的设备认证与互联互通。
谭晓生:这一设备认证证书,对商用密码算法有要求吗?
翟新元:我们正在推动Matter协议支持商密算法。此前,我们和CSA主席曾前往上海浦东智能照明联合会,与联合会签署战略合作协议,并牵头制定了相关团体标准。我们在这一方向做了大量尝试,也得到了国家密码管理局领导的支持。
不过,由于Matter协议由国外主导,在实际推进过程中,商密算法与苹果、谷歌等操作系统存在兼容性问题,他们对引入商密算法的意愿不高。因此,目前这项工作仍处于探索和努力阶段。
CT生态深耕:
筑牢全球信任体系的底层根基
谭晓生:听起来,你们似乎总能预见趋势、提前布局。这种能力从何而来?
翟新元:这很大程度上源于我们五年前一个至关重要的战略决策——加入CT(Certificate Transparency,证书透明度)生态,并成为全球仅有的六家(现为八家)CT日志服务商之一。这一选择,从根本上重塑了我们的技术路径与行业地位。
谭晓生:什么是CT?能具体介绍一下吗?
翟新元:CT其实就是为所有颁发的SSL/TLS证书建立一套公开、可审计的日志体系,用来记录和监督每一张证书的发放情况。它要求CA在签发每一张证书前,都必须先将其信息(预证书)提交到全球多个公开的CT日志服务器进行“备案”并获取签名。
简单来说,就是每一家CA在发证书之前,都必须先经过CT的“备案”和签名。
谭晓生:等于是把发证的过程也纳入了审计,对吧?
翟新元:对,可以这么理解。CT其实结合了区块链和数字签名技术,让整个过程都可追溯、可验证。 如今,浏览器在验证证书可信度时,也会检查其是否拥有足够数量的CT签名。缺少CT签名的证书,将被主流浏览器视为不安全。
谭晓生:原来证书签发的背后,已经变得如此复杂。
翟新元:是的。事实上,在我们之前,国内曾有数家公司尝试运营CT日志,但最终都选择了退出。原因在于,CT是一项对技术运维要求极高、需要持续投入大量资源,却难以直接产生收入的“公益事业”。
而我们之所以能坚持下来,得益于我们拥有一支极其坚韧、技术过硬的运维团队。 这个过程堪称“残酷”——谷歌的标准极为严苛,一旦不达标即面临出局。我们曾因一次运营失误,被谷歌劝退。当时,我以CEO身份郑重致信承诺,我们将不计成本地持续投入。
此后无论是深夜的会议,还是技术联调,我们都有团队成员全程参与,谷歌也认可了我们在专业能力和价值观层面的贡献——他们认为,我们是真正在为WebPKI做实事的公司。
至今,我们每年在CT业务上仍需投入数百万元,说实话,这些钱是“白掏”的,纯粹是出于对行业生态的责任。 但这份投入也带来了丰厚的回报:正因为长期深度参与全球WebPKI生态建设,在此次申请“专用根”嵌入谷歌时,我们的审核速度创下了历史纪录。谷歌的反馈很明确——他们认可我们与他们在理念和价值观上高度一致。
谭晓生:能进入这个圈子,确实来之不易。
翟新元:这个圈子的逻辑截然不同,这里不谈论商业故事,只崇尚技术贡献与行业责任。 在这个领域,我们算是从“门外汉”一路摸索到现在,付出了很多。CT对技术和运维的要求,其实比做CA难得多。你要承担全球范围内的压力——包括像Let’s Encrypt这样每天发放海量免费证书的流量,所有证书都会提交到你的CT日志里,而你的服务不能有任何中断。它要求服务可用性必须达到99.9%,只要出一次问题,就会立刻被踢出局。
谭晓生:既要技术过硬,又要持续投入。那在CT这个生态里,你们具体为行业带来了哪些价值?
翟新元:举个例子,我们基于CT日志的全球数据,开发了一个密钥吊销信息共享系统,并免费开放给全球CA使用,有效填补了行业安全漏洞。
背景是这样的:当一张证书被吊销后,其对应的私钥就不能再用于发证。每家CA都会维护自己的黑名单库,记录被吊销的私钥。但这些黑名单彼此不互通。举例来说,如果Digicert吊销了某个私钥,我们无法得知;如果该私钥被再次用于申请证书,我们理论上无法拦截。
发现这一问题后,团队中有同事想到:既然CT日志记录了全球所有CA发出的证书数据,能否把全球各CA的吊销列表(CRL)收集起来,将其中的序列号与CT日志匹配,提取对应的公钥,形成一个统一的库?这样,整个行业就能互通地掌握哪些密钥已被吊销。
我们真的把这个系统做出来了,并免费向整个WebPKI行业开放。所有CA都可以直接调用,这相当于帮行业补上了一个重要的安全短板。
谭晓生:这确实是对全球网络安全实实在在的贡献!
翟新元:是的。在CT领域的投入,塑造了我们的价值观——我们不怕国际标准收紧,反而视其为机遇。 我们坚信,一个严格、公正的行业环境,最终会奖励那些愿意为数字信任基石添砖加瓦的长期主义者。
展望未来:
从密码底座到无界的数字信任
谭晓生:在今年,后量子密码是一个争议的焦点和热点,PQC密码方面,你们考虑是什么样的?
翟新元:在Web PKI领域,向PQC迁移已是一个明确的趋势。 目前,Chrome浏览器已支持抗量子算法,Nginx也有了相应的插件。作为CA,我们的系统现已具备签发符合NIST标准的PQC证书的能力。
谭晓生:但中国的相关标准似乎尚未最终确立?
翟新元:国内的话,今年2月,商用密码标准研究院面向全球公开征集新一代商用密码算法,覆盖公钥、杂凑、分组密码等方向,在10月,又进一步启动新一代公钥密码算法征集。
全球的时间表要求2030年完成从RSA/ECC到PQC的过渡。CA/B论坛正在讨论2026年CA开始支持PQC。一个有趣的契机是,我们加入Matter生态恰好与PQC的推广相结合。对亚数TrustAsia而言,PQC的第一个规模化商用场景可能出现在物联网领域。因为物联网生态相对私有,改造阻力小于整个开放的Web。如果到2029年量子计算取得突破,而物联网设备的芯片却不支持PQC,整个安全体系将面临巨大风险。因此,生态必须提前跑起来。
谭晓生:你对未来CA的生态有什么预测?未来的展望如何?
翟新元:过去,CA常被视为一个传统而封闭的领域。但AI的爆发,正在重新定义“数字信任”的边界。
我们重点关注两个方向:
其一,是AI生成内容的真实性认证(C2PA)。这是一个由微软、英特尔、索尼等巨头推动的联盟,旨在为相机、手机等创作设备及其编辑软件签发证书,从而实现数字内容的全程溯源与防伪。我们已与上海交通大学成立院士(专家)工作站,共同研究,愿景是让未来每一部中国生产的手机都内置由我们签发的信任根。
其二,是数字产品护照(DPP)。这是由联合国提出的概念,未来出口到欧盟的每一件商品(如服装)都需一个数字身份,记录其原材料、碳足迹等全生命周期信息。若由欧美第三方实验室执行,成本高昂。我们正在探索更经济可行的中国方案,这不仅能助力中国企业出口,更是将物理世界与数字信任连接的关键一步。
谭晓生:这已经完全超越了传统证书的范畴。
翟新元:没错。我们公司的愿景是“让数字世界,信任无处不在”。在评估新业务时,我们始终叩问:它是否符合这一使命?数字护照正是将信任从线上延伸到线下万物的实践。这不仅是巨大的商业机会,更是我们必须承担的时代责任,将为公司开辟无比广阔的未来空间。
评论