1. Let's Encrypt：这是一个非营利性的证书颁发机构，提供免费的SSL/TLS证书，被广泛使用，超过3亿个网站使用其服务。Let's Encrypt的证书有效期为90天，但可以自动续订，实现永久免费。
2. ZeroSSL：ZeroSSL提供终身免费的SSL证书，证书有效期为90天，但可以自动续订。他们还为有更高SSL需求的人提供了付费计划。
3. SSLforfree：提供永久免费的SSL证书，通过域验证提供认证的非营利性利用ACME服务器。
4. CloudFlare：Cloudflare提供免费的SSL解决方案，许多流行网站依赖Cloudflare来确保安全性和速度。要使用Cloudflare免费SSL，需要登录Cloudflare账户或创建一个，并选择要启用SSL的网站。
5. FreeSSL.org：使用Let's Encrypt和Buypass提供永久免费的SSL证书。使用Let's Encrypt的证书有效期为3个月，而使用Buypass的有效期为6个月，所有证书均可自动续订，并提供证书到期提醒服务。
6. acmessl.cn：acmessl携手全球权威可信顶级根，自研新一代SSL证书，全系列支持90天免费使用，支持连续签发。
7. 阿里云：阿里云提供Digicert品牌的免费SSL证书，每个阿里云账号可免费申请20张单域名证书，免费时长为3个月。

最近，由于一起利用 .mobi域名的WHOIS服务器漏洞非法获取 TLS 证书的事件，Google 在 CA/Browser 论坛上提议禁止使用 域名注册的联系人电子邮件地址(WHOIS电子邮件) 来验证域名控制权。该提案建议从 2025 年 1 月 15 日起，禁止证书颁发机构 (CA) 使用 WHOIS电子邮件 来验证域名联系人，并禁止使用之前的WHOIS域名验证记录。

尽管 DigiCert 对当前提案持保留意见，认为其未充分考虑 ICANN 和 Amazon 提出的合理建议，但仍支持逐步淘汰过时的 WHOIS 协议。预计该提案将有很大可能通过。

对用户的影响
如果提案通过，从 2025 年 1 月 15 日起，用户将无法再使用基于 WHOIS 的电子邮件域名控制验证 (DCV) 方法来证明对域名的控制权。此外，CA 也不再基于之前的WHOIS验证记录来重新颁发或续订证书，用户需要采用其他 DCV 方法重新验证域名。

用户应采取的措施
如果提案通过，从 2025 年 1 月 15 日起，用户需要使用其他 DCV 方法来证明对域名的控制权。如果你希望继续使用邮件认证方式来证明对域名的控制权，你可以采用以下2种方式之一：

使用5个特定电子邮件地址（admin@[域名], administrator@[域名], webmaster@[域名], hostmaster@[域名], postmaster@[域名]）来接收授权邮件。
创建一个DNS域名解析记录，记录类型为TXT，主机记录为_validation-contactemail，记录值为您的email地址，你将可以使用此email地址接收授权邮件。

6月27日，Google的安全团队宣布将在Chrome127及更高的版本中，不再信任自2024年11月1日以后签发的Entrust SSL证书。但在2024年10月31日以前签发的证书依然会被信任，能够继续正常工作。据悉，这一决定和Mozilla在今年3月到5月间发现Entrust存在的一系列安全错误有关，Entrust在这一系列错误中未能及时提出更正意见或解决问题，导致了Google的这项决定：
EV TLS Certificate cPSuri missing
Failed to provide a preliminary incident report according to TLS BR 4.9.5

CPR was not responded to in 24 hours

Delayed revocation of EV TLS certificates with missing cPSuri

EV Certificate missing Issuer’s EV Policy OID

Delay in Updating CPS

Failure to revoke EV TLS certificates issued before CPS update

clientAuth TLS Certificates without serverAuth EKU

Delayed revocation of clientAuth TLS Certificates without serverAuth EKU

CPS typographical (text placement) error

Delayed incident report - CPS typographical (text placement) error

Not updating Problem Reporting Mechanism fields in CCADB

OCSP response signed with SHA-1

CRL non-conformance with the TLS BRs

默认情况下，Chrome127及以后的版本，在验证到以下 Entrust 根的 TLS 服务器身份验证证书（其最早签名证书时间戳 （SCT） 的日期在 2024 年 10 月 31 日之后）将不再受信任。

CN = Entrust Root Certification Authority - EC1

CN = Entrust Root Certification Authority - G2

CN = Entrust.net Certification Authority (2048)

CN = Entrust Root Certification Authority

CN = Entrust Root Certification Authority - G4

CN = AffirmTrust Commercial

CN = AffirmTrust Networking

CN = AffirmTrust Premium

CN = AffirmTrust Premium ECC

在TLS/SSL证书有效期不断被缩短的大趋势下，我们在前文和大家聊了聊企业面临的困境、应对策略及证书自动化管理，今天想和大家继续探讨的是TLS/SSL证书自动化管理切实可行的解决方案。

01自动化证书管理的重要性TLS/SSL证书是保障网络连接安全的重要手段，它们用于加密在线数据传输，以防止恶意方监听、篡改或窃取敏感信息。然而，TLS/SSL证书有效期缩短将增加证书管理的难度和工作量，主要原因在于手动更新和部署TLS/SSL证书需要耗费大量人力资源，且容易出错，导致严重后果。为了降低风险并减少IT安全团队的工作量和难度，自动化TLS/SSL证书管理变得至关重要。

02自动化有利于解决证书有效期缩短带来的问题
TLS/SSL证书自动化管理是一种使用自动化工具和流程来管理TLS/SSL证书的方法，它可以帮助企业降低人力成本、减少错误并提高效率。目前主流证书自动化工具都是基于ACME协议进行开发和设计的，ACME协议是一种自动化的数字证书管理协议，具有提高效率、安全可靠、兼容性强等多个优点。然而，即便ACME协议具有许多优势，在帮助公司管理数字证书时仍然存在单点管理、节点分散、不支持到期预警等问题。

03安全可靠的TrustAsia证书自动化部署方案作为国内数字安全证书行业领导者，为帮助行业客户应对TLS/SSL证书自动化管理的挑战，TrustAsia推出了多种TLS/SSL证书自动化管理工具和解决方案。这些工具和方案可帮助企业更轻松地管理TLS/SSL证书，降低人力成本、减少错误和提高效率。从证书颁发到维护再到更新，TrustAsia提供的自动化管理方案涵盖了证书全生命周期。此外，TrustAsia的自动化管理方案也可以根据企业的需求进行灵活调整，以满足不同方面的需要。对于中小企业，TrustAsia 独家推出可管理ACME服务，且有对应技术专利。可管理ACME服务可以集中管理ACME客户端，解决了ACME协议只能单点管理、且节点分散带来的管理问题，从而实现了TLS/SSL证书大批量的自动化管理。另一方面，可管理ACME服务提供了证书到期预警、续期失败告警等功能，同时，通过预审核机制，也可以实现OV、EV证书的自动化生命周期管理。

TrustAsia可管理ACME服务提供了友好的交互流程，可以一键生成部署命令，提供的统计报表和可视化的仪表盘可以大幅度降低用户的证书管理难度，进而尽可能满足中小企业TLS/SSL证书自动化管理需求。对于大中型企业实现TLS/SSL证书自动化所面临的挑战，如私有化部署、私钥安全存储等，TrustAsia研发了TLS/SSL证书自动化管控系统CertManager。CertManager可以实现大批量TLS/SSL证书全生命周期自动化集中管理，同时提供完善的私钥安全存储、证书发现、证书管理、证书监控、批量部署、品牌切换、主动切换证书等功能，且适配能力强，可以适配多种部署环境，从而助力企业进行证书自动化部署、降低人力成本，规避人为失误导致的生产事故。CertManager可以帮助企业建立和运行更完善的证书管理机制和安全机制，从而尽可能从容应对TLS/SSL证书在未来可能面临的任何挑战。更多关于原生ACME、可管理ACME、CertManager 功能的异同，可查看图片。

在现代企业数字化转型过程中，SSL证书全生命周期的管理变得至关重要，其管理不仅仅是一项技术问题，更是关系到企业整体网络安全和数字信任的重要环节。

然而，与SSL证书全生命周期管理的重要性相对应的是，其复杂性也在不断凸显：

首先，业务驱动下数字化转型使得企业的应用环境变得越来越复杂。随着信息化和数字化建设的推进，企业对于网络安全和数据加密保护的需求也日益凸显。作为确保网络通信安全的重要工具，SSL证书部署的服务器节点数量也会随着企业应用系统的增加而增加，这无疑增加了SSL证书管理的工作量，使其管理任务变得更加繁重。

另一方面，随着云计算的兴起，采用混合云的部署模式在企业网络环境中日益普及，这种模式将私有云、公有云和本地数据中心相结合，以满足企业对灵活性和可扩展性的需求。然而，这种复杂的部署模式给SSL证书的管理也带来了一系列挑战，如混合云环境中存在多种部署场景和技术架构，如多云、混合云、边缘计算等，每种场景可能使用不同的证书类型等，也通常涉及到多个证书颁发机构（CA），这样的多样性导致了证书管理的复杂性。

此外，混合云环境的动态性和可扩展性也给证书管理带来了挑战。由于云资源的动态调整和变化，证书的部署和更新可能需要频繁地进行调整和更新。企业需要实时监控和管理证书的状态，确保证书始终处于最新状态，同时也要满足行业标准和法规的合规性要求，这令证书管理难度更上一层楼。

更为棘手的是，证书有效期不断缩短的趋势使得这些挑战变得更加严峻。

在此前的CA/B论坛会议上，Google的Chrome团队发起了投票提案，建议将SSL证书的最长有效期从398天减少到90天。

从传统的数年有效期到现在的“90天提案”，证书管理的频率大幅增加，企业需要投入更多的时间和资源来保证证书的及时更新和续签，这也将进一步加大了对SSL证书管理系统的需求和压力。

那么，为了应对这些挑战，一个成熟的证书管理系统需要怎么做？

我们认为，传统的手动管理方式已经无法满足当下企业的需求。

一个成熟的证书管理系统模型，首先要确保SSL证书要在一个集中可视化平台底座上被高效率地管理起来，然后是统一监控这些SSL证书的部署状态，最后是这些证书的自动化工作流管理。

概括起来，就是集中可视化平台、统一监控、自动化工作流管理。

集中可视化平台
为什么需要一个集中可视化平台？

在我们的观察中，事实上，许多企业在“第一关”的证书申请和审批阶段就面临重重困难。企业客户普遍反馈，SSL证书的采购审批流程极其繁琐冗长。

通常情况下，业务部门首先提出需求，确定需要的证书类型（如OV或EV）和数量。接着，他们会将采购清单提交给采购部门，采购部门进行招标购买。采购完成后，运维部门负责证书的部署。这一整个流程不仅繁琐且周期巨长，耗费了企业大量的时间和精力。

同时，在证书的使用过程中，还存在责任归属不清的管理难题：证书应由谁管理？是实际使用的业务部门还是负责部署的运维部门？当证书过期需要续签时，谁负责与CA沟通？是采购部门还是运维部门？

这些问题的根源在于证书申请、部署和使用环节分散在企业内部的不同系统中，形成了信息孤岛。业务部门、运维部门和采购部门之间缺乏有效的信息交流，每一个部门都无法对证书的状态有一张完整的认知图。

显而易见，集中可视化平台是SSL证书管理的基础。

通过一个集中可视化的平台，企业能够将所有的证书管理工作集成在一起，从业务部门的需求申请、采购部门的审批到运维部门的部署、更新都在一个平台上完成。

这不仅能简化流程，提高效率，还能减少由于信息孤岛导致的沟通不畅和管理混乱，从而让SSL证书的部署更加快速、敏捷化。

具体来说，集中化平台需要具备以下功能：

可视化管理——提供直观的界面，证书分布一目了然，让各部门可以轻松查看证书的状态、分布和使用情况。

统一申请和审核流程——简化证书的申请和审核流程，减少人为干预，加快证书颁发速度。

自动化部署——实现证书的一键部署，支持不同类型的证书和多种部署环境。

统一监控
统一监控是实现SSL证书持续有效和安全的重要技术保障手段。

在集中可视化平台的底座之上，通过集中监控，企业可以实时掌握所有证书的部署和运行状态，及时发现和解决问题，防止业务中断等问题的出现。

统一监控需要解决以下问题：

实时状态监控——实时监控证书的部署状态和使用情况，及时发现即将到期或异常的证书。

告警通知——设置告警策略，根据HTTPS部署的可用性、证书链完整性、安全性（例如弱密钥）进行告警。

日志记录和分析——记录所有证书的操作日志，进行数据分析，帮助企业优化证书管理策略。

自动化工作流管理
自动化工作流管理是提升SSL证书管理效率的关键利器。通过自动化工作流，企业可以大幅减少人工操作，提高管理效率和准确性。

自动化工作流管理需要涵盖以下方面：

自动申请和审核——业务部门提交申请后，系统自动进行审核和签发，减少人为干预和审核周期。

自动更新和续签——证书即将到期时，系统自动进行更新和续签，避免证书过期带来的安全风险。

自动部署和配置——证书签发后，系统自动将证书部署到指定的服务器和设备上，确保快速生效。

批量操作和管理——支持证书批量申请、更新和部署，提高大规模证书管理的效率，确保高效运行。