本周早些时候，我们发表了一篇文章，探讨了CA/浏览器论坛决定将SSL/TLS证书的审批时间缩短至47天。在这篇文章中，我们探讨了此举可能给企业带来的潜在成本。虽然Sectigo未能对原文做出回应，但在文章发表后，我们采访了Sectigo首席技术官NickFrance，就这些变化进行了探讨。

France想谈的第一件事就是我们的定价示例。在原文中，我们提到了每年多次续订SectigoSSL/TLS证书的潜在成本。这是基于去年与几家证书颁发机构的沟通，当时最初的47天续订期限首次被提出。这些沟通表明，客户每年将购买多个证书，而不是一个。

谈到每47天更换一次证书的需求，弗朗斯解释了一些客户目前如何处理短期证书的情况。他评论道：“我们目前有一些客户支付相同的金额（年费），他们已经在使用30天证书了。他们现在不再支付费用了。获取新的证书是一个技术流程，我们称之为补发。”

“他们将获得一月、二月、三月、四月、五月等为期30天的证书，并将新证书作为技术流程的一部分进行安装。”

他接着表示，一些证书颁发机构可能会选择只提供47天的证书，供客户重新购买。但他同时表示，此举不会以客户目前面临的价格水平为准。

转向订阅和锁定风险

客户和CA管理此流程的一种可能方式是通过订阅。Sectigo已经向部分客户提供了这项服务。客户可以按期付费，并约定重新签发流程，例如上文所述。

这引出了另一个问题。更改SSL/TLS证书可能会造成中断，尤其是在您拥有多个证书的情况下。证书管理工具可以简化流程，并通常能够降低风险。然而，从现有CA重新颁发证书与更换CA并替换所有数字证书是不同的。

纵观其他订阅流程，人们很容易被工具和供应商所束缚。如今，企业在其蓬勃发展的SaaS应用领域中也面临着同样的问题。那么，Sectigo将如何确保客户不被束缚呢？

弗朗斯指出，自动证书管理环境(ACME)协议可以解决这个问题。他评论道：“这项技术已经存在十多年了，我们订阅服务正是基于它，它就是Acme。它是一个开放标准协议，RFC8555。它最初是由Let'sEncrypt团队在他们推出时开发的。”

许多其他免费和商业CA也提供相同的服务。这是我们证书订阅服务的基础，并且与CA无关。其目标是完全自动化SSL证书（或称服务证书）的申请、验证、接收和安装。

弗朗斯继续说，这个过程非常完善，如果你使用符合ACME协议的解决方案，整个过程只需几秒钟。

自动化的需求

这促使我们探讨客户（无论是企业、托管服务提供商(MSP)、网络托管供应商还是任何拥有多个证书的用户）采用自动化技术的需求。今年2月，Sectigo宣布面向合作伙伴推出证书即服务(CaaS)解决方案。该解决方案将简化自动化流程，使Sectigo证书的大型和小型用户都能从中受益。

弗朗斯还谈到了证书生命周期管理(CLM)工具的优势。拥有多个证书的用户面临的挑战之一是了解自己拥有哪些证书。CLM工具可以帮助他们审计组织并识别证书，包括证书所属机构、使用地点以及至关重要的证书到期和续订日期。

他举了一个例子。“在企业中，经常会出现同一个系统、同名同名的多个证书的情况。这可能是因为您需要负载均衡、高可用性和冗余。但您仍然需要知道这些证书何时到期，也需要知道谁在申请哪些证书。您需要能够将它们组织到不同的存储桶和类别中。”

这种组织和控制正是证书生命周期管理(CLM)的职责。France认为，买家在选择CLM时需要谨慎。不同供应商的功能存在差异。每个CLM都需要一个能够扫描整个企业空间的发现工具。它需要查看证书透明度日志，查找任何CA颁发的任何证书。这将使管理员清楚地了解他们拥有哪些证书以及需要做什么。

法国也将此视为自动化的起点。一旦拥有数据，就可以开始实现流程自动化，从而降低风险和成本。

集成到安全工具中

纵观市面上众多的证书生命周期管理(CLM)工具，我们可以发现，发现并非它们之间的唯一区别。鉴于证书的重要性，CLM工具，实际上，任何涉及证书管理、供应和部署的工具，都应该集成到安全工具中。但事实并非如此。

弗朗斯相信这种情况会改变。他承认，目前证书管理被视为一项小众技术。因此，还有很多工作可以做，他表示，证书颁发机构也意识到了其中的差距。

他评论道：“这个行业如今正处于前所未有的变革速度。我从事这个行业22年了，从未见过像现在这样的变化。我坚信这些变化是好的。我们正在努力让互联网更安全。这些变化对互联网有利，对每个人都有利。”

“无论人们是否一直不同意苹果和谷歌的做法，他们都是为了数十亿使用其产品的用户的利益而行动，试图让互联网更安全。”

弗朗斯还认为，变革的速度将促使人们重新评估事物的运作方式，并提出问题。是否存在解决方案？我可以构建或购买解决方案吗？我需要自行构建吗？我可以将其与我的安全基础设施集成吗？它可以与我的资产管理基础设施集成吗？这些都是客户和供应商以前从未提出过的问题，但弗朗斯认为现在会被提出。

这能解决证书管理的根本问题吗？

科技行业擅长发布解决方案，但不一定能解决根本问题。以撤销证书为例。无论证书是错误颁发、被滥用还是被盗，都需要被撤销。

过去三十年来，业界一直在努力让CA在处理这个问题上保持一致。迁移到47天模式需要解决这个问题，但CA/浏览器提案中并未提供任何解决方案。

弗朗斯认为，缩短证书有效期将减少对撤销证书需求的依赖。他指出，当前的行业准则规定，短期证书（例如7天证书）无需具备CRL（RFC2585）和OCSP（RFC6960、9654）。他评论道：“这种观点认为，如果您拥有短期证书，那么在短期到期时就无需撤销证书。”

弗朗斯还指出，当前的撤销流程存在许多问题需要解决。他指出了OCSP相关的重大隐私问题。使用CRL，您需要下载大型文件，而这需要您拥有可靠的宽带连接和足够的带宽。

浏览器成为焦点

弗朗斯正是从这里看待浏览器的作用，他说道：“浏览器正在尝试解决这些问题。如果你看看主流浏览器，就会发现它们都在构建自己的机制来内部处理撤销。Chrome有一个叫做CRLSets的东西。苹果有一个内部称为Valid的解决方案。Mozilla有CRLLight。

它们都会吸收CRL之类的内容，然后进行压缩，或者使用布隆过滤器之类的智能工具。它们会直接将这些信息推送给客户端，这样就可以撤销证书，但必须通过特定方式。OCSP正在逐渐被弃用，我认为Let'sEncrypt已经宣布未来将不再支持它。

人们期望浏览器能够开始重建因证书撤销问题而造成的信任损失。但正如弗朗斯所说，现实情况是，浏览器拥有更丰富的知识和更智能的智能。它们最先感受到证书被盗的影响。弗朗斯认为，这是浏览器在恶意软件检测方面工作的延续。

渠道可以发挥作用

X.509证书和公钥基础设施(PKI)已伴随我们超过35年。该技术已被各大机构在公共和私人领域广泛使用。尽管如此，人们对其的理解和技能仍然存在巨大差距。这导致它们成为攻击者的目标。他们从管理不善的PKI中窃取私钥，并将其用于攻击。

为了填补这一空白，MSP一直在提供代客户管理PKI基础设施的服务。客户可以将自己的证书带到MSP，然后MSP会代客户管理。这种做法有利有弊。如果MSP的PKI管理不善，可能会使多个客户面临供应链攻击的风险。

然而，好的一面是，MSP可以整合技能来管理多个客户的环境。Sectigo目前拥有一个MSP渠道，并且在1月份收购Entrust的公共证书业务后，也获得了对其MSP的访问权限。

France表示，Sectigo正致力于通过向托管服务提供商(MSP)展示其产品和工具的功能来拓展业务。MSP只是Sectigo渠道计划的一部分。他指出，越来越多的网络托管服务商同时也是DNS提供商。他们越来越多地参与PKI领域，而Sectigo正致力于为他们提供所需的工具。

企业时报：这意味着什么？

与弗朗斯的这次对话在多个层面上都颇具趣味。这表明，尽管去年审计师们对定价提出了质疑，但成本不会大幅上涨。然而，企业需要采用更自动化的方案，例如CLM。对于目前尚未使用CLM的大型企业来说，一个问题是：为什么？

行业变化的速度也值得关注。CA将如何在47天的变革中适应并教育客户至关重要。虽然还有几年的时间，但教育工作需要尽早开始，以便组织做好规划。或许，作为渠道平台一部分的网站托管商和托管服务提供商(MSP)会承担这项工作。我们拭目以待。

证书解决方案也需要与其他工具更好地集成。必须将其集成到网络安全和资产管理平台中。那些率先做到这一点并提供全面发现工具的供应商将被视为市场的关键参与者。