即将到来的量子计算揭示了密码学专家的预言:加密无处不在。几乎所有实现现代安全实践的东西都依赖于加密和公钥基础设施(PKI)来实现数字信任。

为什么通用加密如此重要?答案是:与加密相关的量子计算机(CRQC)，它足够强大，可以破解传统的非对称算法，如RSA和ECC。

但这是后量子加密(PQC)可以解决的威胁，NIST于2023年8月发布了PQC标准的第一稿，使世界离量子安全的未来又近了一步。

采用PQC意味着组织必须通过创建加密资产列表来识别其数字足迹。美国联邦政府机构首先启动了这项工作，根据要求，这些机构必须在2023年5月之前提交他们最重要的加密系统清单。然而，很多机构发现很难在这个截止日期之前完成工作，所以直到12月，整个政府机构的非对称加密清单才最终完成。

联邦政府提出的挑战凸显了创建加密资产清单的复杂性，特别是当一些组织拥有他们甚至可能不知道的资产时。我们将这一过程分为四个步骤，以帮助您开始规划这一过渡。

开始过渡到PQC的4个步骤
DigiCert与波耐蒙研究所合作进行了一项调查和研究，以了解世界对量子计算的准备情况。在这项调查中，我们了解到大多数IT领导者都担心他们的公司还远远没有准备好。如果您的组织也处理加密资产，并且尚未开始向PQC过渡，则可以参考以下信息，了解如何开始过渡。

1. 计算您的加密资产
   第一步是开始计算证书、算法和其他加密资产，并根据它们的重要性对它们进行优先级排序。基于此，您可以确定需要升级或替换的内容，以确保在量子计算成为现实时贵公司的系统保持安全。

在整个计算过程中，你需要回答几个重要的问题:

您的证书目前使用的是什么算法?
谁颁发的证书?
证书什么时候到期?
哪些域名受证书保护?
什么密钥用于为您的软件签名?
进行彻底的盘点并不仅限于此。您还需要回答以下问题:

您的软件包或设备是否自动下载更新?
它是否连接到后端服务器?
它是否与网站或门户网站相关联?
该网站或门户是否由第三方或云提供商运营?
如果答案是肯定的，那么您需要联系每个提供者以了解他们依赖谁——了解您的提供者使用哪些软件包，了解提供者的后端提供者是谁，等等。

正如我们所说，这是一个复杂的过程。但这也是我们现在需要采取行动的原因——而不是在量子计算开始暴露(并利用)贵公司的漏洞之后。

2. 优先考虑需要长期信任的加密
   要替换的第一个加密算法是能够生成需要长期信任的签名的加密算法。想想长期使用的设备的信任根和固件。是的，这意味着要对软件、设备及其加密进行详细的盘点。

为什么?攻击者正在打一场持久战，他们采用“先窃取，后解密”的攻击策略，记录加密数据是他们的任务之一。将来，当网络犯罪分子能够获得量子计算时，他们将解密这些数据——保护您免受此类攻击的唯一可靠方法是优先考虑您的公司将长期依赖的任何加密方法。

3. 探索和测试在贵公司采用PQC算法的方法
   NIST仍在努力标准化和记录安全实现、测试和部署新的加密安全算法的方法。但密码库和安全软件的运营商现在需要开始将算法集成到他们的产品中。适应所选的PQC算法需要一些努力，因此您的公司可以通过探索如何将其合并到您的加密库中来保持领先地位。
4. 实现加密灵活性
   完成上述步骤并非易事。然而，当量子计算开始破解算法时，现在计算你公司的加密资产将带来回报——尽管我们不知道这何时会发生，但我们知道这只是时间问题，而不是是否会发生。

盘点完成后，PQC转换的下一阶段是实现加密敏捷性，这涉及到资产可见性，为d建立方法

普通互联网用户可能没有意识到，为了保护数字世界的安全，需要在幕后做多少工作。但是，由证书颁发机构(ca)颁发的数字证书使可信的网站、电子邮件、服务器和软件可信。证书颁发机构/浏览器(CA/B)论坛和其他标准设置组织认为这些CA值得信赖。

有时，由于人为错误或代码中的错误，颁发的证书不能满足根存储操作符的严格遵从性要求。当出现这种情况时，CA应该如实报告相关情况，撤销证书，并帮助社区从中吸取教训。

但正如我们在Google Chrome不信任委托事件中看到的那样，未能及时减轻损害可能会对CA及其客户产生严重后果。

为什么谷歌不信任委托?
2024年6月，谷歌的Chrome安全团队宣布，在2024年10月31日之后，它将不再信任委托颁发的TLS证书。几个月前，委托公司承认错误颁发了26000多个EV TLS证书。

CA/B论坛的基线要求规定，错误颁发的证书的撤销期非常短，根据问题的性质，可能是24小时，也可能是5天。CA通常可以在对企业影响最小的情况下解决问题，但委托没有采取任何行动来撤销或替换受影响的证书。

不作为对企业的影响可能是服务中断、CA状态不确定以及客户信任的丧失。对于像委托这样无法撤销和替换错误颁发的证书的CA，这可能意味着web浏览器将停止信任CA，就像谷歌在2024年所做的那样。

SSL服务器端数字证书可以使用高强度签名算法，结合服务器端加密协议，在web接入客户端和服务器端之间完成HTTPS加密传输。证书颁发机构对证书申请人进行严格、可靠的信息验证，使网站可信，防止被劫持、篡改、窃听。为网站访问者提供真实、有效、安全的网站内容。

西部数字证书服务是与全球知名的CA证书服务中心或代理合作提供给用户的SSL证书服务产品。用户可以通过西部数据选择自己需要的CA中心及其证书产品，为用户提供完整的站点HTTPS安全解决方案。

近日，IBM发布了《2024年数据泄露成本报告》，报告显示，今年全球数据泄露事件的平均成本达到488万美元，并且随着其破坏性的不断增强，组织对网络安全团队的要求也进一步提高。与前一年相比，数据泄露的成本增加了10%，这是自2020年以来的最大增幅;70%的受访公司表示，数据泄露造成了重大或非常重大的损失。

上述报告的主要见解包括:

企业安全团队人员配备不足

与前一年相比，越来越多的公司面临安全专家严重短缺的问题(增长26%);与安全团队级别较低或不缺乏安全人员的组织相比，这些组织的数据泄露平均成本要高出176万美元。

人工智能驱动的预防工作取得成效

三分之二的受访企业正在其安全运营中心(SOC)部署安全人工智能(AI)和自动化技术。当企业在预防阶段广泛使用人工智能和自动化工具时，他们的平均数据泄露成本比不使用这些技术的组织低220万美元，这也是2024年报告中披露的最大成本节约。

数据可见性问题迫切需要改进

40%的数据泄露涉及存储在混合环境中的数据，包括公共云、私有云和内部部署。这些数据泄露事件的平均成本超过500万美元，识别事件并控制其发展所需的时间也是最长的(283天)。

凭证盗窃是最常见的初始攻击载体之一

凭证盗窃和破解占数据攻击行为的16%，在常见的初始攻击向量中排名第一。识别和控制此类攻击的时间也是最长的(近10个月)。

执法机构的干预有助于公司减少赎金支付

与其他遭受勒索软件攻击的公司相比，引入执法机构的公司平均节省了近100万美元的数据泄露成本，这还不包括他们已经支付的赎金。大多数向执法部门寻求帮助的勒索软件受害者(63%)可以避免支付赎金。

以关键基础设施为目标的企业承担的数据泄露成本最高

医疗保健、金融服务、制造业、技术和能源公司的数据泄露成本领先于其他行业。其中，医疗保健公司连续14年承担的数据泄露成本最高，平均数据泄露成本为977万美元。

数据泄露的成本正转嫁给消费者

63%的公司报告称，他们今年因数据泄露而增加了商品或服务的成本，比去年(57%)略有增加，这也意味着大多数受访公司已经连续第三年采取了这一措施。

1、什么是SSL证书自动化?为什么说这是一项改变世界的技术创新?
SSL证书是实现HTTPS加密的必备密码产品。传统的方法是用户手动向CA申请SSL证书，并将其部署到web服务器上进行HTTPS加密。这个过程非常繁琐，熟练的工程师至少需要两个小时才能完成DV SSL证书的申请和部署工作。如果申请OV/EV SSL证书，则需要1-3天。这极大地限制了HTTPS加密的广泛使用，从Netscape在1994年发明SSL证书到2014年全球25%的网站在20年内实现HTTPS加密。

自从Let's Encrypt免费SSL证书自动化项目于2013年启动(软件制造商的杰作)以来，全球超过80%的网站在短短10年内实现了HTTPS加密。HTTPS加密的加速普及必须归功于SSL证书的自动颁发和部署。

自2013年开始统计以来，全球ca已经颁发了超过160亿个全球可信的RSA/ECC算法SSL证书。截至目前，全球共有7.36亿个有效SSL证书，其中3.77亿个证书由Let’s Encrypt颁发，市场份额超过50%，排名全球第一。每天的发证量高达5万多张，这是自动化的力量和魅力。

Let’s Encrypt不仅自身实现了RSA/ECC算法SSL证书的自动颁发，还引领了国际标准RFC 8555 (ACME，自动证书管理环境)的发展，引领整个行业开始实现SSL证书的自动颁发和管理，让互联网公司和云服务提供商有机会一举超越老牌CA机构。在互联网公司(域名注册商)中排名第二的是GoDaddy，在云服务商中排名第三的是亚马逊，在互联网巨头中排名第四的是谷歌，传统CA机构DigiCert和Sectigo原排名分别为第一和第二、第五和第六，微软排名第七，CDN服务商Cloudflare排名第八。这是自动化给这些互联网巨头的机会，因为他们手中有用户，而用户需要一站式的自动化解决方案。希望国内互联网公司、云服务商能从中看到商机，也希望国内CA机构能从中看到危机。

传统的SSL证书申请和部署过程对于工程师来说至少需要两个小时。如果目前全球7.36亿个SSL证书仍然由工程师手动应用和部署，则需要15亿个小时。如果一个工程师安装它们，将需要近2亿天才能完成。如果你想在2小时内完成它，你需要1.8亿工程师，这是人类无法实现的天文数字。然而，自动化使这些数字成为现实，这就是自动化的力量。对于单位决策者来说，申请和安装SSL证书的繁琐和费力的任务可以由机器完全自动化。为什么要浪费宝贵的工程师去做这些工作呢?自动化在各行各业的成功已经证明了它的力量，这是必然的道路。

同样，SSL证书的普及应用之路也是自动化的。自动应用和部署为HTTPS加密的普及和应用做出了巨大贡献，极大地提高了全球互联网应用的安全性，特别是万物互联的安全性。这是一项改变世界的技术创新，也是密码应用领域的一项非常重要的创新。没有这一技术创新，全球SSL证书应用还徘徊在25%的使用水平，大量数据处于裸载状态，就不可能有移动互联网、车联网、物联网等物联网的繁荣和快速发展。

正是因为全球超过90%的SSL证书已实现自动化，谷歌在去年3月推出了将SSL证书有效期缩短至90天的计划，以确保SSL证书密钥的安全性。其目的是提高敏捷性，以便快速将整个生态系统过渡到抗量子算法，这也是SSL证书自动化带来的可能性。密钥更新速度的提高将大大提高HTTPS加密的安全性能。作者期望实施90天SSL证书有效期策略b