面对免费SSL证书有效期缩短至90天的情况，CA机构可以通过以下几种方式来实现盈利：

1. 自动化证书管理服务：CA机构可以提供自动化的证书申请、部署和续期服务，以适应频繁的证书更新需求。这种服务可以提高效率，减少人为错误，并为用户提供便利。
2. 提供高级证书服务：除了基础的DV（域名验证）证书外，CA机构可以提供OV（组织验证）和EV（扩展验证）证书，这些证书提供更高级别的身份验证和安全性，通常需要付费。
3. 增值服务：CA机构可以提供额外的安全服务和技术支持，如安全咨询、网站扫描、漏洞评估等，以增加收入。
4. 合作伙伴和渠道销售：通过与域名注册商、云服务提供商等合作伙伴合作，提供一站式的建站和安全服务，自动化提供SSL证书，从而增加用户粘性和收入。
5. 定制化解决方案：为特定行业或大型企业提供定制化的SSL证书解决方案，满足其特定的安全和合规需求。
6. 证书续期和更新服务：由于免费证书的有效期缩短，用户需要更频繁地续订证书。CA机构可以通过提供便捷的续期服务来获得稳定的收入流。
7. 利用市场份额变化：随着免费证书有效期的缩短，市场份额可能会重新洗牌。CA机构可以通过提供优质服务和合理的价格来吸引新客户，扩大市场份额。
8. 政策和法规遵从：对于需要符合特定政策和法规要求的企业，CA机构可以提供符合标准的证书服务，这些服务往往是付费的。
9. 品牌和信任建设：通过建立强大的品牌和信任度，CA机构可以吸引那些愿意为更高信任度和服务质量支付费用的客户。
10. 技术创新：开发和提供新的技术解决方案，如支持最新加密算法的证书，以吸引对安全性有更高要求的用户。

通过上述方式，CA机构可以在免费SSL证书有效期缩短至90天的新环境下，找到盈利的机会，并保持业务的可持续发展。

对于小型CA机构来说，进行成本效益分析时可以采用一些简化方法来降低复杂性和资源消耗。以下是几种适用于小型CA机构的成本效益分析简化方法：

1. 使用成本效益分析计算器：
   小型CA机构可以使用在线的成本效益分析计算器来评估项目的财务可行性。这些计算器通过比较项目的总成本与预期效益来帮助决策，简化了分析过程。
2. 关注关键成本和效益：
   专注于识别和量化对机构影响最大的成本和效益因素，而不是试图计算所有可能的细节。这有助于集中资源和注意力在最重要的因素上。
3. 采用简化的现值公式：
   使用简化的现值公式来计算未来收益和成本的当前价值，这有助于评估长期项目的财务可行性。
4. 进行敏感性分析：
   通过调整关键变量的数值来评估这些变化对成本效益分析结果的影响，帮助管理者了解风险和不确定性。
5. 使用决策树分析：
   以树状图的形式展现不同决策路径和可能的结果，帮助管理者做出最佳选择。
6. 边际成本分析：
   评估每一单位增加产量或减少产量所带来的额外成本和收益，以确定最优产量水平。
7. 期望值分析：
   将不同结果的概率乘以其相应的收益或成本，得出每种决策的期望值，以便选取期望值最高的决策。
8. 利用成本效益比公式：
   使用成本效益比公式来比较项目的成本和财务效益之间的数学关系，简化决策过程。
9. 量本利分析：
   根据固定成本和变动成本在随着经营量的变化而变化中的位置和比例进行分析，以简化成本控制和效益评估。
10. 使用分析工具和系统：
    利用成本效益分析系统如EASYCON-CBAS，它提供了成本、收益进行归集、分摊、明细核算的功能，并制定出标准成本加以控制。

通过上述简化方法，小型CA机构可以在资源有限的情况下，有效地进行成本效益分析，从而做出更加合理的业务决策。

评估CA机构的成本效益比，可以遵循成本效益分析（Cost-Benefit Analysis, CBA）的基本原则和步骤，具体如下：

1. 确定目标和范围：明确分析的目的和所要评估的CA机构项目或决策的范围。
2. 识别成本和效益：列出所有相关的直接和间接成本，如基础设施建设、技术支持、审计合规、市场合作等成本。同时，确定所有可能的直接和间接效益，如收入增加、市场份额扩大、品牌价值提升等。
3. 量化成本和效益：将成本和效益转换为货币价值，以便进行比较。
4. 估算时间序列：确定成本和效益发生的时间点，以便进行时间价值的调整。
5. 选择贴现率：确定适当的贴现率，以反映资金的时间价值和项目的风险。
6. 计算现值：使用贴现率将未来成本和效益转换为现值。
7. 计算净现值（NPV）：从总现值效益中减去总现值成本，得到项目的净现值。如果NPV为正，表示项目或决策的收益超过了成本。
8. 计算内部收益率（IRR）：确定使NPV等于零的贴现率，即项目的预期回报率。如果项目的IRR高于资本成本，通常被认为是可接受的投资。
9. 进行敏感性分析：分析关键变量（如成本、效益、时间、贴现率）的变化对NPV和IRR的影响，以确定项目的稳健性。
10. 多标准决策分析（MCDA）：如果项目的评价不仅仅基于经济因素，可以使用MCDA来考虑其他因素，如环境、社会和政治影响。
11. 编写报告：准备一份详细的报告，包括分析方法、结果和结论。
12. 做出决策：根据CBA的结果，决策者可以选择接受、拒绝或修改项目。
13. 监控和评估：在项目实施过程中，持续监控成本和效益，确保与CBA预测一致，并在必要时进行调整。

通过上述步骤，可以全面评估CA机构的成本效益比，为决策提供科学依据。需要注意的是，成本效益分析是一个动态的过程，需要根据实际情况的变化不断调整和更新。

不同规模的CA机构在成本上确实存在较大差异，这些差异主要体现在以下几个方面：

1. 品牌价值和市场定位：不同CA机构有不同的品牌价值和市场定位。一些大型、知名的CA机构因其技术力量雄厚、服务覆盖全球，提供的证书服务速度快、稳定性强、兼容性好，因此价格相对较高。而小型CA机构可能只针对特定国家和地区开展业务，运营成本相对较低，价格也相对较低。
2. 审核和验证成本：CA机构的主要成本之一是审核和验证申请证书的实体身份。大型CA机构可能需要更多的资源和人力来执行这些验证程序，尤其是对于OV和EV级别的证书，需要更严格的验证。
3. 技术支持和服务成本：大型CA机构通常提供更全面的技术支持和客户服务，这会增加其运营成本。而小型CA机构可能在这方面的投入较少，因此成本较低。
4. 审计和合规成本：所有CA机构都需要通过WebTrust等年度审计以保持在浏览器信任列表中的位置，这是一项重要的开销。大型CA机构可能需要更多的资源来满足这些合规要求。
5. 基础设施成本：包括CRL和OCSP服务器成本，大型CA机构可能需要更多的基础设施来支持其全球业务，而小型CA机构的基础设施成本可能较低。
6. 市场和合作关系成本：大型CA机构可能需要更多的资金来维护和扩展其市场和合作关系，而小型CA机构在这方面的成本可能较低。
7. 保险和担保费用：大型CA机构可能需要购买更高额度的专业责任保险，以覆盖可能的风险，这也是一项重要的成本。

综上所述，不同规模的CA机构在成本上的差异主要体现在品牌价值、审核验证、技术支持、审计合规、基础设施、市场合作以及保险担保等方面。这些因素共同影响着CA机构的运营成本和最终的证书定价。

根据搜索结果，成为一个CA机构并颁发SSL证书的年成本可以从以下几个方面进行分析：

1. 审计和合规成本：CA机构每年必须通过WebTrust等年度审计，这是很大的开销。
2. 浏览器厂商收费：一些浏览器厂商还会对植入根证书列表的CA收费。
3. 基础设施开销：包括CRL和OCSP服务器成本。
4. 验证CSR成本：提交证书申请后，CA要做多项验证，越是高级的证书（比如EV）验证越麻烦，不固定开销，有些要花费很多人力和时间来完成。
5. 法律成本：CA公司得买保险，保险费跑不了。
6. CA链费用：新开的CA公司要等5-10年，才会被普遍信任，才能广泛进入根证书链。要想加快点，就得给别的大牌CA公司掏钱，买次级证书。
7. 市场和合作关系成本：包括各级代理、合作伙伴不同导致的价格差异。
8. 证书颁发成本：运营CA是按照单个证书来收费的，并且每个证书的使用期限是一年，即每年都需要为证书重新付费。
9. 技术支持成本：对用户或机构发放证书只是企业信息化安全保障建设的第一步，在证书的应用过程中，运营CA是无法单独提供技术支持的。
10. 证书管理成本：由于运营CA有自己的一套证书管理和发放流程，该流程并不随用户需求而改变，用户需要适应CA的流程。

具体到年成本的数额，由于涉及的因素众多，包括审计、法律、技术支持、基础设施建设等，以及不同CA机构的规模和运营效率，很难给出一个具体的数字。但可以确定的是，这些成本累加起来，对于CA机构来说是一笔不小的开支。而且，这些成本最终会反映在SSL证书的价格上，这也是为什么付费SSL证书会比免费证书贵很多的原因之一。