SSL服务器端数字证书可以使用高强度签名算法，结合服务器端加密协议，在web接入客户端和服务器端之间完成HTTPS加密传输。证书颁发机构对证书申请人进行严格、可靠的信息验证，使网站可信，防止被劫持、篡改、窃听。为网站访问者提供真实、有效、安全的网站内容。

西部数字证书服务是与全球知名的CA证书服务中心或代理合作提供给用户的SSL证书服务产品。用户可以通过西部数据选择自己需要的CA中心及其证书产品，为用户提供完整的站点HTTPS安全解决方案。

近日，IBM发布了《2024年数据泄露成本报告》，报告显示，今年全球数据泄露事件的平均成本达到488万美元，并且随着其破坏性的不断增强，组织对网络安全团队的要求也进一步提高。与前一年相比，数据泄露的成本增加了10%，这是自2020年以来的最大增幅;70%的受访公司表示，数据泄露造成了重大或非常重大的损失。

上述报告的主要见解包括:

企业安全团队人员配备不足

与前一年相比，越来越多的公司面临安全专家严重短缺的问题(增长26%);与安全团队级别较低或不缺乏安全人员的组织相比，这些组织的数据泄露平均成本要高出176万美元。

人工智能驱动的预防工作取得成效

三分之二的受访企业正在其安全运营中心(SOC)部署安全人工智能(AI)和自动化技术。当企业在预防阶段广泛使用人工智能和自动化工具时，他们的平均数据泄露成本比不使用这些技术的组织低220万美元，这也是2024年报告中披露的最大成本节约。

数据可见性问题迫切需要改进

40%的数据泄露涉及存储在混合环境中的数据，包括公共云、私有云和内部部署。这些数据泄露事件的平均成本超过500万美元，识别事件并控制其发展所需的时间也是最长的(283天)。

凭证盗窃是最常见的初始攻击载体之一

凭证盗窃和破解占数据攻击行为的16%，在常见的初始攻击向量中排名第一。识别和控制此类攻击的时间也是最长的(近10个月)。

执法机构的干预有助于公司减少赎金支付

与其他遭受勒索软件攻击的公司相比，引入执法机构的公司平均节省了近100万美元的数据泄露成本，这还不包括他们已经支付的赎金。大多数向执法部门寻求帮助的勒索软件受害者(63%)可以避免支付赎金。

以关键基础设施为目标的企业承担的数据泄露成本最高

医疗保健、金融服务、制造业、技术和能源公司的数据泄露成本领先于其他行业。其中，医疗保健公司连续14年承担的数据泄露成本最高，平均数据泄露成本为977万美元。

数据泄露的成本正转嫁给消费者

63%的公司报告称，他们今年因数据泄露而增加了商品或服务的成本，比去年(57%)略有增加，这也意味着大多数受访公司已经连续第三年采取了这一措施。

1、什么是SSL证书自动化?为什么说这是一项改变世界的技术创新?
SSL证书是实现HTTPS加密的必备密码产品。传统的方法是用户手动向CA申请SSL证书，并将其部署到web服务器上进行HTTPS加密。这个过程非常繁琐，熟练的工程师至少需要两个小时才能完成DV SSL证书的申请和部署工作。如果申请OV/EV SSL证书，则需要1-3天。这极大地限制了HTTPS加密的广泛使用，从Netscape在1994年发明SSL证书到2014年全球25%的网站在20年内实现HTTPS加密。

自从Let's Encrypt免费SSL证书自动化项目于2013年启动(软件制造商的杰作)以来，全球超过80%的网站在短短10年内实现了HTTPS加密。HTTPS加密的加速普及必须归功于SSL证书的自动颁发和部署。

自2013年开始统计以来，全球ca已经颁发了超过160亿个全球可信的RSA/ECC算法SSL证书。截至目前，全球共有7.36亿个有效SSL证书，其中3.77亿个证书由Let’s Encrypt颁发，市场份额超过50%，排名全球第一。每天的发证量高达5万多张，这是自动化的力量和魅力。

Let’s Encrypt不仅自身实现了RSA/ECC算法SSL证书的自动颁发，还引领了国际标准RFC 8555 (ACME，自动证书管理环境)的发展，引领整个行业开始实现SSL证书的自动颁发和管理，让互联网公司和云服务提供商有机会一举超越老牌CA机构。在互联网公司(域名注册商)中排名第二的是GoDaddy，在云服务商中排名第三的是亚马逊，在互联网巨头中排名第四的是谷歌，传统CA机构DigiCert和Sectigo原排名分别为第一和第二、第五和第六，微软排名第七，CDN服务商Cloudflare排名第八。这是自动化给这些互联网巨头的机会，因为他们手中有用户，而用户需要一站式的自动化解决方案。希望国内互联网公司、云服务商能从中看到商机，也希望国内CA机构能从中看到危机。

传统的SSL证书申请和部署过程对于工程师来说至少需要两个小时。如果目前全球7.36亿个SSL证书仍然由工程师手动应用和部署，则需要15亿个小时。如果一个工程师安装它们，将需要近2亿天才能完成。如果你想在2小时内完成它，你需要1.8亿工程师，这是人类无法实现的天文数字。然而，自动化使这些数字成为现实，这就是自动化的力量。对于单位决策者来说，申请和安装SSL证书的繁琐和费力的任务可以由机器完全自动化。为什么要浪费宝贵的工程师去做这些工作呢?自动化在各行各业的成功已经证明了它的力量，这是必然的道路。

同样，SSL证书的普及应用之路也是自动化的。自动应用和部署为HTTPS加密的普及和应用做出了巨大贡献，极大地提高了全球互联网应用的安全性，特别是万物互联的安全性。这是一项改变世界的技术创新，也是密码应用领域的一项非常重要的创新。没有这一技术创新，全球SSL证书应用还徘徊在25%的使用水平，大量数据处于裸载状态，就不可能有移动互联网、车联网、物联网等物联网的繁荣和快速发展。

正是因为全球超过90%的SSL证书已实现自动化，谷歌在去年3月推出了将SSL证书有效期缩短至90天的计划，以确保SSL证书密钥的安全性。其目的是提高敏捷性，以便快速将整个生态系统过渡到抗量子算法，这也是SSL证书自动化带来的可能性。密钥更新速度的提高将大大提高HTTPS加密的安全性能。作者期望实施90天SSL证书有效期策略b

什么是回归本源?
要回答这个问题，我们先来谈谈什么是CDN。CDN即Content Delivery Network(内容分发网络)，是由分布在不同地区的边缘服务器组成的分布式内容分发网络。它将源站点资源缓存在不同位置的边缘服务器上，供网站访问者就近访问，减少源站点压力，快速为用户提供源站点内容。CDN最适合的内容是各种静态文件，如下载文件、音乐文件、视频文件等。当然，目前的DCDN已经支持动态请求，为各种资源提供动态和静态的加速和保护。

返回到源是指CDN节点从源站点检索网站访问者请求数据并返回给网站访问者的过程。CDN将根据设置的时间缓存这些数据。当下一个访问者想要获得相同的资源时，他们将不再去源站点获取它。它们可以直接从边缘节点为用户提供所需的资源，达到快速获取附近数据的目的。简单地说，当用户请求的数据在本地CDN节点服务器上不可用或需要更新时，节点服务器将返回到原始数据源检索数据，这称为源检索。如下图所示，第一个下载零信息浏览器的北京用户需要CDN北京节点从深圳源站点获取后再返回给用户，这样会导致下载速度变慢。而第二个北京用户直接从CDN北京边缘节点获取，会导致下载速度更快。

什么是返回源协议?HTTP返回源和HTTPS返回源的区别是什么?
返回源协议是指CDN节点向源站点请求资源时使用的协议。网站访问常用的协议有HTTP和HTTPS，可以指定返回源端口。例如，HTTP协议的默认端口为80,HTTPS协议的默认端口为443。CDN节点将根据用户的协议和端口设置从源站点请求资源。

如下图所示，如果使用HTTP协议返回源站点资源，则称为HTTP back to source。这是一个完整的明文传输方法，用于返回源和用户访问。机密数据在传输过程中很容易被非法窃取和篡改，无法保证数据在传输过程中的安全性。因此，所有浏览器都会显示为“不安全”。但是，目前仍有大量的政府网站使用HTTP CDN服务和WAF服务，这些服务非常不安全，不符合保证网络传输安全的网络安全和机密性评估要求。四部委发布并于7月1日实施的《互联网政务应用安全管理规定》明确要求，政府网站和政务服务系统必须使用HTTPS加密实现安全连接，CDN业务必须使用HTTPS加密。

如果使用HTTPS加密协议从源站检索资源，则称为HTTPS检索。HTTPS返回源要求源站点也支持HTTPS协议，这意味着源站点必须配置SSL证书并能够通过HTTPS进行访问。当然，从用户端到CDN节点也必须使用HTTPS协议，这意味着必须在CDN边缘服务器上部署SSL证书，实现网站机密数据传输全程HTTPS加密，确保网站数据安全。

由于HTTPS协议要求在源站点部署SSL证书，因此需要用户向CA申请SSL证书，不仅需要在源web服务器上配置SSL证书，还需要用户将SSL证书上传到CDN系统。这个过程非常复杂。所以，大量的网站使用HTTP返回源方法。虽然用户访问时浏览器显示加密的锁定标识，但CDN节点服务器与源站点之间的传输仍然是HTTP明文，仍然不安全。机密数据仍然可能被非法窃取和篡改。

对于WAF保护，也采用了类似于CDN的反向代理转发技术，可以分为HTTP back to source和HTTPS back to source，以及用户是通过HTTP还是HTTPS访问网站。如果WAF设备或WAF云服务不支持HTTPS加密，则是不安全的HTTP明文访问网站。如果WAF设备或云WAF服务支持HTTPS加密

本次发布的报告为2024年第一季度定期发布的分析报告，希望对中国SSL证书行业的发展和普及，特别是国家加密SSL证书的普及和应用起到积极的推动作用。本简报将继续发布全球证书颁发机构为中国政府域名*颁发的SSL证书数据。gov.cn。这一重要领域的SSL证书颁发数据具有重要的参考价值，可作为相关部门评估风险和制定相关风险管理政策的依据。同时，我们将继续发布全球前十大SSL证书提供商的排名和分析，为国内CA及相关企业制定发展战略提供参考。

1、全球SSL证书统计数据分析
根据国际证书透明度日志系统的数据，截至2024年3月31日，该系统记录的全球可信SSL证书共有7.0258亿个，比上一季度增长3.84%，首次超过7亿个。从这个问题开始，我们将不再发布自2013年以来颁发了多少SSL证书的数据，因为超过90%的SSL证书有效期为90天，每个域名每年颁发5次。SSL证书过期数量无参考值。

全球有效的SSL证书总数为70258万个，其中包括只验证域名的DV SSL证书、验证单位身份的OV SSL证书和扩展验证单位身份的EV SSL证书。上一季度的发行量、占比及环比数据如表1所示。可以看出，SSL证书总数增长了3.84%，但DV SSL证书增长了6.01%，说明DV SSL证书占比仍在持续增长。考虑到Cloudflare以Cloudflare的O字段自动颁发了大量OV SSL证书，但实际上是为使用Cloudflare CDN服务的网站颁发的，共计4014万张，这些OV SSL证书可以理解为错误颁发的OV SSL证书，但实际上是DV SSL证书!也就是说，OV SSL证书的实际数量不足4882万张，仅占6.95%。因此，事实上，DV SSL证书占93%，连续两个季度保持这个高比例。这意味着DV SSL证书已经统治了世界，而非DV SSL证书占比不到7%!

表1
在全球7.0258亿个有效证书中，排名前17位的SSL证书提供商的证书发行量、比例和季度增长情况如表2所示。第一名仍然是Let's Encrypt，与上一季度相比增长了12%，但市场份额略低于50%。第二名是GoDaddy，从上一季度的第7名上升到第5名，本季度迅速上升到第2名，像火箭一样快速上升。谷歌从上一季度的第三名上升到第二名，但在本季度跌至第四名。Cloudflare从上一季度的第二名跌至第四名，本季度继续下滑至第五名。这些变化的潜在原因将在第五部分中深入分析。