一次技改完成两次HTTPS加密技术革命

HTTPS加密技术是浏览器厂商Netscape于1994年发明的，使用SSL证书实现从浏览器到服务端的数据传输加密。这是一个革命性的发明创造，使得明文HTTP互联网成为了密文HTTPS互联网，才使得互联网有了商用价值，使得实验室的互联网技术在全球范围得到了普及使用，才有了今天人们已经离不开的互联网服务。这个技术在31年后今天即将迎来一次技术革命—缩短SSL证书有效期，彻底从人工申请和部署SSL证书变革为自动化申请和部署，这个技术革命的目的是为了迎接下一个真正的技术革命—后量子密码HTTPS加密。两次技术革命都需要系统升级改造，这是逃不过的改造，本文讨论是否有可行的技术方案能把这两次技术革命升级改造一次搞定。

SSL证书从人工管理到自动化管理的技术革命

SSL证书从诞生到现在都是由浏览器信任的CA机构为用户签发SSL证书，用户拿到证书后手动在Web服务器或网关设备上部署SSL证书，再启用HTTPS加密，保障网站数据传输安全，这个业务流程31年了一直没有变。但是，在万物互联的今天，互联的万物都需要实现HTTPS加密，就无法由人工来完成SSL证书申请和部署了，这就需要一次技术革命。

其实，这个技术革命早在2015年就开始了，这就是由Mozilla牵头发起Let’s Encrypt自动化签发和部署SSL证书，并于2019年发表了RFC 8555 自动化证书管理环境(ACME)国际标准，在全球范围得到了积极响应并大量实施，目前全球11亿张有效SSL证书中已有8亿张SSL证书都是自动化签发和部署的，有力保障了全球万物互联的数据传输安全。而在2015年全球有效SSL证书只有两百多万张，十年时间SSL证书签发量翻了550倍，这就是自动化的威力。

既然这个技术革命早就开始了，为何笔者又说这次技术革命即将到来呢？因为即使已经有80%以上的HTTPS加密都已经实现了SSL证书自动化管理，但这不是强制项，人们还在习惯31年已经形成的习惯人工申请和部署SSL证书，严重阻碍了SSL证书的普及应用，这就需要革命！

谷歌早在2023年3月3日就发布了“Move Forward, Together”(一起面向未来)的革命计划—强制缩短SSL证书有效期为90天，全面拥抱SSL证书自动化管理，这就是要革传统SSL证书人工管理的命。但是，就像任何革命一定会遭遇反对一样，这场技术革命遭到了CA机构和用户的反对，导致了这场革命直到2025年5月16日才有了成功的眉目—分步缩短SSL证书有效期的国际标准的制定，这是一个各方妥协的革命，分三步完成：2026年3月15日缩短SSL证书有效期为200天，2027年3月15日为100天，2029年3月15日为47天。

也就是说，这次的技术革命到来时间是明年3月15日，这场即将到来的HTTPS加密技术革命的目的是要实现SSL证书自动化管理，从传统的人工管理革命为自动化管理。这就要求SSL证书用户采取合适的技术措施完成系统升级改造，实现SSL证书自动化管理。而我国则需要实现双算法(RSA/SM2)SSL证书的自动化管理，同时完成系统国密改造以支持SM2国密算法，实现自适应密码算法的HTTPS加密自动化。

HTTPS加密从传统密码到抗量子密码的技术革命

为了应对将来的量子计算可能会秒破现在正在使用密码算法，需要新的抗量子密码算法，这些算法可以保护数据免遭使用当前传统计算机和未来的量子计算机发起的攻击。这些算法就是后量子密码(Post-Quantum Cryptography，简称PQC)。

尽管向后量子密码的过渡在量子计算机问世之前就开始了，但仍然存在紧迫的威胁。攻击者现在收集加密数据，目的是在量子技术成熟后解密数据，这就是“先收集-后解密”的安全威胁，因为许多机密数据的价值往往会持续多年，有些个人机密数据会伴随人的一生，因此现在开始过渡到后量子密码，对于防止未来发生机密数据被解密至关重要。这种威胁模型是迫切过渡到后量子密码的主要原因之一。

为此，美国国家标准技术研究院(NIST)于2024年11月12日发布了NIST IR 8547 《过渡到后量子密码标准》的公开征求意见草案，该报告描述了NIST从易受量子攻击的密码算法过渡到后量子数字签名算法和密钥建立方案的预期方法，确定了现有的易受量子攻击的密码标准以及信息技术产品和服务需要过渡到的抗量子密码标准，旨在促进与行业、标准组织和相关机构的合作，以促进和加速后量子密码的采用。NIST列出了迈向PQC标准过渡时间表，目标是到2035年尽可能低降低量子风险。目前正在广泛使用的安全密码算法RSA-2048和ECC-256将在 2030年弃用，2035年禁用，这就是传统密码算法的死期，要求业界必须提前做好所有相关系统和产品向PQC算法的迁移工作。

也就是说，2029年12月31日之前面临的技术革命是HTTPS加密必须迁移到抗量子密码算法上，所有系统都需要升级改造支持后量子密码HTTPS加密。这是用户必须面对的即将到来的又一个技术革命，这个技术革命要求用户必须升级改造现有系统以支持后量子密码算法。

两次技术革命需要两次系统升级改造

缩短SSL证书有效期是SSL证书用户必须面临的一次革命，这次革命的到来时间是2026年3月15日，最终完成时间是2029年3月15日。而弃用传统密码算法启用后量子密码算法则又是一次SSL证书用户面临的革命，这次革命到来的时间是2029年12月31日，因为2030年必须弃用现在正在使用的密码算法了，包括RSA-2024算法、ECC-256和SM2算法。

2026年3月15日的技术革命要求用户提前实施SSL证书自动化管理技术升级改造，彻底丢弃传统的SSL证书人工管理。2029年12月31日的技术革命要求用户提前实施HTTPS加密的后量子密码支持，这也要求用户完成系统升级改造。SSL证书用户也就是所有网站运营者和管理员都必须拿出行动计划来尽快完成2026年的技术革命，同时还需要提前考虑如何完成2029年的技术革命，而不是只考虑2026年的技术革命，两次革命有相关性，都是为了保障HTTPS加密安全。

两次技术革命既然是必须的，那就选择一次完成

正如谷歌推动缩短SSL证书有效期是为了轻松过渡到抗量子密码所言，既然完成两次HTTPS加密技术革命是必须的，那就应该在规划第一次技术革命时想到第二次技术革命，把两次技术革命所需要的技术改造一起规划，选择一次完成的先进技术方案，而不是头痛医头脚痛医脚，只有这样才是最节省投资和减轻升级改造负担的最佳解决方案。

缩短SSL证书有效期的技术革命将于2026年3月15日到来，2029年3月15日结束，后量子密码HTTPS加密的技术革命将于2029年12月31日到来，这两场技术革命都是所有网站运营者必须应对的，必须进行改造的，选择一次完成两次革命才是唯一正确选择。