200天！100天！47天！

5月16日，国际标准组织-CA/浏览器论坛正式批准了SC-081v3提案--缩短SSL证书有效期和验证数据重用期。全球信任的SSL证书有效期从明年3月15起分三个阶段由现在一年有效期分别缩短为200天、100天和47天，计划最终将缩短为10天！本文讲一讲这个巨变对各利益相关方意味着什么，是危机还是机遇？可以说都是，就看大家如何理解和应对这个巨变了。

SSL证书从早期的5年有效期相继缩短到3年、2年，再到1年，这个不断的缩短有效期的核心诉求是为了保证HTTPS加密的安全，缩短证书有效期就是缩短私钥的存活期，也就是缩短了攻击者的攻击时间和攻击窗口，从而最大程度减少潜在威胁的风险，确保全球网络安全基础设施保持最新状态。

ASPCMS社区在两年前(2023年3月3日)首次提出了要推动SSL证书有效期从现在的一年缩短为90天，意在促进生态系统敏捷性和轻松过渡到抗量子算法。于是，国际标准组织-CA/浏览器论坛开始了漫长的提案讨论，而苹果公司于2024年10月10日又提出了缩短SSL证书有效期为47天的更新提案，并给出了一个分阶段实施的方案：2025年9月15日缩短为200天，2026年9月15日缩短为100天，2027年4月15日缩短为47天。这个缩短证书有效期的提案在ASPCMS社区首次提出的两年后的2026年4月13日获得通过，通过的提案比苹果的提案又推迟了半年施行，推迟两年施行47天有效期：2026年3月15日缩短为200天，2027年3月15日缩短为100天，2029年3月15日缩短为47天。这是一个各利益相关方妥协的方案，但无论如何，喊了两年的靴子终于落下了！有用户说终于“狼来了”。

对于数字安全行业来说，这一标准的制定代表着一个重大的转折点，那就是在网络威胁快速发展的时代，一年有效期的静态安全措施已不再足够，敏捷性和主动风险管理必须成为现代安全策略的核心。CA机构、单位安全团队和IT管理员都必须重新考虑这个核心点，确保关键信息基础设施能够处理增加的证书续订节奏，保持运营效率和不影响业务系统正常运转。

除了技术影响之外，这种转变还反映了各行各业正在朝着安全优先的思维方向迈进。不愿意缩短证书有效期的观点植根于便利性，但便利性不再是安全决策的主要驱动力。47 天有效期SSL证书政策的落地，不仅仅是一项技术标准的制定，而是数字安全发展的方向标，它标志着对降低风险、提高敏捷性和促进更具弹性的互联网安全至关重要。虽然挑战很大，但这一政策落地的长期利益将远远超过现在的挑战，强化了在万物互联和AI时代必须始终将安全放在首位的原则。

200天对于网站主，也就是SSL证书用户来讲，意味着从2026年3月15日起，如果仍然采用手动申请证书和部署证书方式的话，每年必须折腾两次！一个网站尚可接受，10个、100个、1000个乃至1万个网站还受得了吗？

100天对于SSL证书用户来讲，意味着从2027年3月15日起，如果仍然采用手动申请证书和部署证书方式的话，每年必须折腾4次！一个网站都已经比较困难了，更不说10个、100个、1000个乃至1万个网站了，必须实现自动化证书管理！

47天对于SSL证书用户来讲，意味着4年后必须完成所有网站系统的SSL证书自动化管理，无论多少个网站，即使只管理一个网站，也不可能一年折腾10次！完成了SSL证书自动化管理，到时候就可以从容应对后续实施的10天有效期政策了。

所以，所有网站主必须从现在开始着手准备实施SSL证书自动化管理，必须开始方案规划、方案调研和做好采购预算，必须在明年3月15日之前搞定双算法SSL证书自动化管理，只有这样才能确保网站系统的不间断可靠运行，满足等保、密评和相关法律法规的合规要求。

其实，这个政策对于网站管理员和安全管理员来讲，实在是一个大利好，只要推动SSL证书自动化管理改造落地实施，则自己将更加轻松，无需再为每年为大量Web服务器更新SSL证书而烦恼了。特别是需要完成国密HTTPS加密改造的用户，一劳永逸的解决方案就是微改造，只需在现有Web服务器前面部署国密HTTPS加密自动化网关即可，一次投资，一次部署两台网关，可以为多达255个网站系统自动化实现国密HTTPS加密和WAF防护，免费自动化配置提前满足2027年规定的100天有效期双算法SSL证书，并且是网关硬件系统和SSL证书都包用5年，5年安全无忧，不再需要关心申请SSL证书和部署SSL证书了。当然，更多网站和更大流量的网站系统需要部署更多台国密HTTPS加密自动化网关。

对于数字安全服务提供商，包括系统集成商、云服务提供商、CA机构等等，这是一个巨大的新商机，这不再是一个销售几千元的SSL证书的小生意，而是一个几十万、几百万、几千万甚至上亿元的大生意！因为所有用户都需要完成这个升级改造，这个产业将是一个上千亿元的大产业。特别是叠加我国必须完成的国密改造和IPv6改造强制要求，这是一个难得的一举两得的技术改造市场机会。

对于系统集成商，这个市场机会有两种业务模式，一是代理销售国密HTTPS加密自动化网关，帮助用户轻松完成国密HTTPS加密改造，完成WAF防护改造，完成IPv6改造。对于省级或者国家级政务云平台，除了销售HTTPS加密自动化网关外，还可以销售政务云SSL服务系统，帮助政府用户实现自动化从政务专用SSL中级根证书签发政务系统用双算法SSL证书，所有政务系统限定部署政务专用SSL证书，彻底杜绝各种SSL中间人攻击和不受CA机构的断供影响。

另一种系统集成商商业模式是为用户提供SSL证书自动化管理服务，自己投资采购国密HTTPS加密自动化网关，部署在用户机房，按启用的网站数量和按年收费，收费标准可以参考现在的双算法SSL证书收费标准。据粗略估算，这个服务模式的投资收益率大大超过销售网关硬件的收益率。这个商业模式是一个双赢方案，政务云平台无需购置国密HTTPS加密自动化网关，仍然按现在的每个网站购买双算法SSL证书的费用支付给服务商，开通多少网站支付多少钱，前期投入少。而服务提供商的投入不仅得到了高回报，而且无需工程师去给用户安装SSL证书，只需点击鼠标为用户开通国密HTTPS加密和WAF防护服务即可。

对于商业云平台商，必须学习ASPCMS社区云、亚马逊云、微软云等国际大厂的成功经验，只需自建云SSL服务系统或直接对接零信云SSL服务系统，就可以快速为所有云主机用户、CDN用户、WAF用户提供双算法SSL证书自动化管理服务，可以在云端部署多台国密HTTPS加密自动化网关为用户提供国密HTTPS加密自动化云服务。

对于CA机构，则需要抓紧具备双算法SSL证书的自动化签发能力和自动化部署能力，不仅可以为自己的国密HTTPS加密自动化网关自动化配置双算法SSL证书，还可以为其他网关厂商提供双算法SSL证书自动化管理服务，而不再是销售SSL证书给用户，而是销售SSL证书自动化管理解决方案。零信技术历时4年打造了双算法SSL证书签发系统和自动化管理解决方案，能助力CA机构快速具备这两个核心能力，以最快的方式切入SSL证书自动化管理大市场。

对于相关网安厂商和密码厂商，如果其相关网安设备和密码设备(如网关和WAF)需要SSL证书，是时候拥抱SSL证书自动化了，为用户提供基于国密ACME标准的双算法SSL证书自动化管理服务。零信技术作为国密ACME标准制定牵头单位，能助力网安厂商和密码厂商快速实现其网安设备和密码设备具备双算法SSL证书的自动化管理能力，多通道可靠地为用户签发全球信任的国际SSL证书和国密SSL证书，以最快的方式切入SSL证书自动化管理大市场。

零信技术早在2025年成立之时就已经认准SSL证书自动化管理这个发展趋势大方向，大投入研发国密SSL证书自动化管理生态产品，并牵头制定《自动化证书管理规范》密码行业标准，于2023年11月在第二十五届中国国际高新技术成果交易会上推出了端云一体的SSL证书自动化管理解决方案，核心产品是零信国密HTTPS加密自动化网关，国内首个通过商用密码产品认证的国密HTTPS加密自动化网关，最多支持255个网站的双算法SSL证书的自动化申请和部署，同时集成高性能的WAF防护系统，为用户提供自动化HTTPS加密和WAF防护服务。而完全免费的国密浏览器—零信浏览器是国密SSL证书自动化管理的配套产品，优先采用国密算法实现HTTPS加密，支持国密证书透明。

目前已有多家政府机构、高校和银行等单位部署零信国密HTTPS加密自动化网关实现了SSL证书自动化管理，默认自动化配置的是90天有效期的国际DV SSL证书和国密OV SSL证书，满足用户的全球信任和国密合规应用需求。不仅提前满足了2027年3月15日开始的100天证书有效期政策，并且自动化支持SSL证书有效期变更的要求，即在2029年3月15日之前会自动化为用户配置47天有效期的双算法SSL证书而无需用户设置。

更加值得一赞的是：零信云SSL服务系统支持多CA多通道签发国际SSL证书和国密SSL证书，切实保障了无论CA机构将来出现什么问题或由于国际形势变化导致的断供事件都不会影响零信云SSL服务系统为国密HTTPS加密自动化网关自动化配置双算法SSL证书。这是零信技术全球独家创新提供的SSL证书供应链安全保障措施，彻底解决了单一CA供应链而无法保障SSL证书供应安全的难题，从而切实保障了用户网站系统的HTTPS加密的永不间断服务。这一点非常值得用户在评估和选择SSL证书自动化管理服务商时高度重视。