TLS/SSL证书47天一换：谁在慌，谁在笑？

一、TLS/SSL证书有效期持续缩短的核心原因

TLS/SSL证书的有效期从最初的 10 年逐步缩减至 5 年、3 年、2 年、1 年，最终定至 47 天，核心原因源于安全层面的双重考量，且该调整并非行业终点。

1. 私钥泄露的安全风险
   
   用户对私钥安全性认知不足，常将其与代码打包，极易造成泄露，而私钥泄露后若未被及时发现，攻击者可长期利用密钥对冒充用户身份发起攻击，造成巨大损失。即便 CA 机构可对问题证书进行吊销，但未及时发现的泄露问题仍会形成长期安全隐患。
2. 密码算法迭代的适配需求
   
   证书行业的哈希算法历经 MD5、SHA-1、SHA-2的迭代，此前 MD5 和 SHA-1 算法先后被破解，而彼时市场上大量CA机构签发的 5 年有效期证书仍在使用旧算法。受行业规则限制，CA机构无法直接吊销在用证书（避免造成用户服务中断），只能通过自然过期的方式淘汰，旧算法证书的长期使用带来了显著安全风险，缩短证书有效期成为适配算法迭代、降低风险的关键方式。

此次行业规则的调整由CA/B组织主导，该组织由CA机构与浏览器厂商共同组成，当前浏览器厂商占据主导地位，可直接决定CA机构根证书的浏览器适配权限，而火狐浏览器所属的非盈利开源组织Mozilla基金会，是行业规则公开讨论的重要发起方。

二、47 天有效期证书：无额外成本，操作可实现自动化

针对用户最关注的 “有效期缩短是否为盈利手段”、“操作难度是否大幅提升” 两大问题，翟新元给出了明确答案，同时介绍了行业及企业的配套解决方案。

1. 成本无增加
   
   证书行业按年收费的模式未变，无论有效期如何缩短，用户的支付成本均保持一致，不存在额外支出。
2. 操作可自动化
   
   WEB PKI行业的ACME协议可实现证书的自动化更新，彻底解决了手动更新的繁琐问题。针对金融、政府等无法让每台服务器直连公网的特殊行业，亚数TrustAsia推出 CaaS（证书即服务），可在隔离网环境下完成证书更新，覆盖ACME协议无法解决的复杂应用场景。
3. 亚数TrustAsia CaaS 2.0 （证书即服务）即将发布

三、免费证书与商业证书的核心差异，商业证书的增值价值是什么？

谷歌推动的Let's Encrypt免费证书让用户产生了 “证书行业是否会被颠覆” 的疑问，翟新元表示，免费证书与商业证书定位不同，商业证书仍具备不可替代的价值，且商业 CA 机构能提供全维度的增值服务。

1. 免费证书的局限性
   
   Let's Encrypt 仅签发DV证书，仅验证域名所有者，钓鱼网站也可申请，无法保障身份真实性；商业证书主要为 OV 和 EV 证书，会对申请者的企业身份、申请人信息进行详细验证，从根源上避免钓鱼网站使用，且 EV 证书的身份审核比 OV 证书更为细致，二者此前的浏览器地址栏标记差异，也因谷歌的调整逐渐淡化。
2. 企业身份验证机制
   
   商业 CA 机构会通过市场监督管理局信息核查、企业公对公打款、向企业 HR 部门确认申请人意愿等多种方式，完成企业身份的严格验证。
3. 商业证书的增值服务
   
   商业CA机构并非仅交付证书，而是提供证书全生命周期管理服务，实现证书交付与部署的全自动化，让用户达到 “无感更新” 的效果，避免了手动更新带来的服务重启问题。同时，与西方CA机构仅负责发证、由其他公司负责部署的模式不同，亚数TrustAsia实现了从发证到部署的全环节闭环，解决了环节脱节导致的问题，为客户提供完整的解决方案。

四、亚数TrustAsia布局CT服务：非盈利投入，助力行业生态并提升自身专业度

CT（证书透明化服务）是服务器SSL证书生态的关键基础设施，CA机构签发证书前需将其提交至CT日志服务，实现公开透明，接受市场监督，无CT服务支撑的证书无法被浏览器认定为可信。

1. 布局原因
   
   CT服务由谷歌推出，旨在监管CA机构避免滥发证书，谷歌呼吁全球各大洲均设立CT服务机构，而当时亚洲地区尚无相关机构。亚数TrustAsia作为深耕亚洲市场的CA机构，认为有义务为行业做贡献，因此加入CT服务布局。
2. 投入与行业地位
   
   亚数TrustAsia布局CT服务已达 6 年，每年投入大几百万，是全球第八家、亚洲地区唯一一家CT服务提供商。该服务无商业化价值，但让亚数TrustAsia成为行业生态核心玩家，得以与谷歌、苹果共同制定行业未来的生态发展与技术标准。

五、抗量子密码（PQC）：行业提前布局，亚数TrustAsia做好技术储备

量子计算的发展让传统密码算法面临被破解的风险，攻击者可存储现有加密数据，待量子计算成熟后进行破解，历史通信数据的安全受到严重威胁，因此抗量子密码成为证书行业的重要布局方向。

1. 行业时间表
   
   作为深度参与CA/B组织的企业，亚数TrustAsia透露，国际上已初步确定时间表，要求2030年之前，所有CA机构将现有基础设施迁移至PQC体系，期间会经历传统密码与PQC算法共存的过渡阶段，最终实现纯PQC体系。
2. 亚数TrustAsia的技术储备
   
   目前亚数TrustAsia的PKI系统已完成PQC算法的软件层面实现，仅待PQC加密机的成熟应用。由于服务器SSL证书遵循国际体系，其使用的抗量子加密机需通过美国联邦安全认证，当前该认证环节仍在推进中。同时，亚数TrustAsia也在深度关注国内抗量子密码算法标准的制定，部分员工参与相关标准讨论，希望未来能将国产化 PQC 算法融入服务体系。

六、行业变革节点下，亚数TrustAsia的定位与市场布局

当前数字证书行业正处于三大变革节点：证书有效期缩至47天、国产密码算法应用要求落地、PQC 抗量子密码布局推进，亚数TrustAsia凭借本土化优势与提前的技术布局，确立了自身的行业定位。

1. 本土化优势
   
   此前中国市场的TLS/SSL证书主要由欧美厂商提供，但其无法满足中国本土化服务及国产商用密码算法的应用要求，而亚数TrustAsia具备先天的本土化优势，且在CaaS服务上提前 3 年进行技术预判与布局，为推出相关服务奠定了坚实基础。
2. 入根进展
   
   针对浏览器和操作系统厂商提出的 “专用根” 概念（为提升安全，要求CA机构按证书类型入专用根证书），亚数TrustAsia成为国内首家完成SSL专用根证书入根并实现商用的企业。
3. 算法兼容性
   
   亚数TrustAsia签发的证书兼具国际算法与国产商用密码算法支持，凭借品牌认可度，在国际市场使用无任何问题。
4. 市场占有率
   
   亚数TrustAsia目前签发的服务器 SSL证书，在国内国产证书市场份额里超过第二名至第五名的总和，占据行业领先地位。

七、AI 技术的融合应用：赋能内部研发，即将推出相关服务

AI 的快速发展也对证书行业产生了影响，亚数TrustAsia正积极拥抱AI技术：一方面，研发人员利用AI大幅提升了工作效率；另一方面，从用户角度出发进行AI赋能，相关赋能服务将在3月31日亚数TrustAsia CaaS2.0发布会上正式推出。

八、行业未来发展展望

翟新元表示，三年后回看此次证书有效期缩短的行业变革，证书本身或将被用户淡忘，因为其会完全走向服务化，手动申请、更新、部署证书的方式，会像 “扛煤气罐送上门”一样成为历史，证书服务将如同水电煤一般，成为用户无需费心的基础服务。而在当前的行业变革中，技术服务的升级与标准化将成为核心方向，CA机构的核心竞争力将体现在全生命周期的服务能力与技术前瞻性布局上。