2026年3月15日,CA/B Forum的SC-081v3决议正式生效,SSL/TLS证书最长有效期从一年缩短至200天。这不是终点——按照已经确定的时间表,2027年缩短至100天,2029年进一步缩短至47天。对于绝大多数企业而言,这意味着一年至少要完成8次证书更新。如果你的企业还在用Excel表格和日历提醒来管证书,未来几年将会非常痛苦。
这正是亚数信息科技(上海)有限公司(简称:亚数,“TrustAsia”与“亚洲诚信”商标的持有人)选择在此时举办CaaS 2.0发布会的原因。作为一个在数字证书领域耕耘了近三十年、亲历过沃通事件的行业参与者,我在这场发布会上看到的不仅是一家公司的产品升级,更是整个数字信任基础设施正在经历的一次深刻变革。
证书虽小,却是互联网信任体系的底座
很多人对数字证书的认知停留在"买一张SSL证书挂到网站上"这个层面,觉得它就是一个几千块钱的小东西。但历史上因证书问题导致的事故远比想象中严重。2018年爱立信一张内部软件证书过期,导致英国O2运营商全网瘫痪,3200万用户丢失4G网络和短信服务,波及11个国家;2020年微软Teams因一张证书更新遗漏导致全球服务停摆超过3小时。
证书不出问题的时候没有人想起它,一出问题就可能是业务停摆级别的事故。在47天有效期的时代,证书的自动化管理不再是"nice to have",而是"没有会很痛"的刚需。
从卖证书到铺管道:TrustAsia的转型逻辑
亚数CEO翟新元在发布会上用了一个通俗但精准的比喻:过去卖证书像卖煤气罐,一个月充一次,没了再换,断一会气也不致命;现在要做的是给用户铺天然气管道,7×24小时不间断服务,一秒钟都不能停。
这个转型的底气来自亚数过去21年的技术积累。从2014年推出标准化证书管理平台,到2015年推出OpenAPI赋能公有云厂商并提供免费证书推动HTTPS普及,再到2020年部署CT(证书透明)日志服务、2022年获得国内CA牌照和国际WebTrust认证——亚数走过了从下游证书分销商到上游信任基础设施建设者的完整路径。
有几个数据值得关注。一是亚数目前是全球仅有的8家CT日志运营商之一,也是亚太地区唯一一家。CT日志是纯公益服务,没有商业收入,每年投入数百万元,但它让每一张证书的签发都公开透明、可查可验,是整个Web PKI合规体系的基石。二是亚数目前是国内唯一一家同时拥有RSA、ECC和国密SM2三种算法独立根证书的CA机构,且新的TLS专用根已完成入根并投入生产。三是在物联网领域,亚数作为亚太首家Matter协议的Open PAA(产品认证机构),已为超过5000万台智能家居设备签发了证书。
行业挑战远比想象中复杂
发布会上CTO余宁和解决方案架构师陈珈的分享,让我看到了证书管理在实际落地中的复杂性。证书有效期缩短只是最表层的变化,水面之下还有一系列连锁反应。
一是根证书生命周期管理。Mozilla和Chrome都已明确,根证书最长使用寿命为15年。2026年4月15日将有一批2006-2007年生成的根证书被移除信任列表,其中包括DigiCert、Entrust等老牌CA的多个根。这意味着如果企业的设备或应用中硬编码了这些旧根证书——汽车、工业设备中尤其常见——更新将是一个棘手的工程问题。
二是EKU字段淘汰与专用根要求。行业新规要求TLS证书和S/MIME证书必须使用不同的专用根,服务器证书不能再兼做客户端认证。这个看似细小的技术变更,在实际业务中已经引发过严重事故——某银行因EKU字段变更导致双向认证失败,整个服务停摆,被定性为重大事故;某省政务APP因证书链调整需要全量重新打包分发,CDN流量费用远超证书本身的成本。
三是后量子密码迁移(PQC)。NIST已经发布了ML-KEM和ML-DSA等后量子密码标准,Google更是激进地提出在MTC(Merkle Tree Certificate)体系中直接摒弃沿用38年的X.509证书标准。MTC证书将证书与CT日志合二为一,有效期可能短至7天甚至更短,且只支持ACME自动化交付,完全不接受手动操作。Google计划在2027年Q1启动MTC生态建设,Q3开放全球CA机构入根申请。亚数凭借其CT日志运营经验,将成为亚太区首批参与MTC生态的CA机构。
自动化的“最后一公里”:比技术更难的是管理
发布会下半场的客户分享环节最为务实。友邦保险的证书自动化负责人算了一笔账:公司有200多个外网域名、1000多张内网证书,单次证书更新平均耗时超过45分钟(含跨部门沟通、等待验证、流程调试),仅外网证书年总工时就达150小时——这还是基于一年一换的频率。当有效期缩短到47天、更新频率增加8-12倍时,人工运维已经完全不现实。
更有价值的是陈珈基于大量客户项目总结出的实施方法论:证书自动化不能一蹴而就,必须分三步走。第一步是数据分析——通过CT日志监测和网络扫描,搞清楚企业到底有多少张证书、部署在哪里、谁在用。很多企业的运维人员给不出准确数据,扫描之后才发现"怎么这个服务还挂在外网"。第二步是分场景验证——因为不同业务对自动化的要求不同:有的环境有堡垒机不允许直接安装Agent,有的需要通过API对接DevOps平台,有的金融客户要求CSR必须来自目标设备本身。甚至DNS验证这个看似简单的步骤也会出问题——.cn域名的NS广播不一定面向全球,境外CA的多视角验证可能因此失败。第三步才是分阶段部署和运维集成。
万事网联的代表提到了金融行业特有的挑战:强监管环境下变更窗口有限,有的银行一个月只开两天变更窗口,47天的证书有效期让变更管理压力陡增;跨机构协作链条长,涉及清算系统内部CA平台、Mastercard全球证书体系等多个环节。但他也看到了机遇——以此为契机推动整个金融生态的证书自动化升级。
值得关注的新方向
除了核心的TLS证书自动化管理,亚数在发布会上还展示了几个值得关注的新业务方向。
一是免费证书LiteSSL的发布。定位为Let's Encrypt的"中国平替",基于亚数自有的三算法根证书签发,支持ACME协议自动化,同时解决了Let's Encrypt在中国网络环境下常见的DNS验证失败、签发不通等问题,并支持国密算法——这是Let's Encrypt完全不具备的能力。
二是VMC(可信商标证书),通过在邮件中展示经过认证的企业注册商标LOGO和验证标记,从根本上解决钓鱼邮件的识别问题。三是C2PA(内容真实性与溯源)证书,在AI生成内容真假难辨的时代,通过数字签名链条实现从拍摄设备到编辑软件到发布平台的全链路内容溯源。小米、VIVO、华为等中国手机厂商已经深度参与了C2PA生态建设。
结语
数字证书市场正在经历一次结构性变革。证书有效期的急剧缩短、根证书生态的重新洗牌、后量子密码的迁移压力、MTC新标准的到来——这些变化叠加在一起,使得"买一张证书挂上去"的时代彻底终结,"证书即服务"(CaaS)成为不可逆转的方向。
在这个赛道上,亚数的竞争优势在于"全栈"二字——从底层的CA信任基座、CT日志运营,到中层的证书生命周期管理平台,再到上层与各类云服务、网络设备、IoT生态的集成能力,形成了完整的技术闭环。国内外双牌照、三算法根证书、全球八大CT日志运营商之一的地位,构成了一条不容易被复制的护城河。
对于企业用户而言,证书自动化已经箭在弦上。正如我在发布会圆桌环节总结的两个建议:第一,证书自动化这件事必须马上考虑;第二,后量子密码迁移也是重要且紧急的事项。现在距离47天有效期还有几年缓冲期,但从客户实践来看,一个完整的证书自动化项目从资产梳理到全面落地至少需要两三个月。越早动手,越从容。
密码学最大的敌人从来不是数学家,而是运维的疏忽。在自动化能够把这些容易犯低级错误的事交给机器来做的时代,没有理由继续依赖人工和Excel。
作者:谭晓生,2026年3月31日于TrustAsia CaaS 2.0春季发布会
评论