作者：陈硕

根据 Google Chrome 和 Mozilla Firefox 收集的遥测数据和对 Web 服务器的扫描，发现仅2016年一年，HTTPS 占桌面浏览的比重就增加了10个百分点。因为实现HTTPS需要安装SSL证书，所以HTTPS的大范围普及也带动了SSL证书市场的高速扩张。而在近期，SSL证书市场出现了一些重大变化，这些变化有何意义？对证书用户又会产生什么影响呢？

赛门铁克退出 SSL市场生变

近日，DigiCert新兴市场执行副总裁Jeremy Rowley宣布：“DigiCert正在收购赛门铁克CA资产，包括基础架构、人员、根和平台，DigiCert将于2017年12月1日验证并发布所有赛门铁克证书。”

虽然坐拥全球最大的CA和最高的SSL证书市场份额，赛门铁克放弃SSL业务却并不令人太过惊讶。在这次收购前，由于受到谷歌关于其违规签发证书的严厉指责，赛门铁克的SSL业务已处于水深火热中，而剥离这块业务也有助于赛门铁克更专注于其它新业务。

DigiCert收购赛门铁克无疑将给市场带来重大变化。对全球市场而言，由于有能力在全球开展SSL业务的CA本就不多，赛门铁克的退出有可能加剧寡头垄断。但在内地却可能呈现另一番景象：赛门铁克的SSL证书长期占据国内市场统治地位，其退出后留出的市场空间将引发其他国外CA和本土CA的激烈竞争，用户有望获得更多选择权和更适合的SSL服务。

市场变化对用户有何影响？

首先，赛门铁克的退出意味着不论CA有多强大，一旦在管理环节出现偏差，哪怕是极小的疏漏，都有可能被浏览器厂商惩罚，承受失去市场的风险。因此各家CA必将引以为鉴，加强风控，未来证书审核有可能更严格，用户在申请部分CA的证书时也许要花费更多时间。

其次，DigiCert的收购和谷歌的惩戒措施将使部分赛门铁克证书用户需要在未来进行更换证书的操作（具体时间点尚未公布），即必须先向赛门铁克提交证书吊销申请，证书吊销后再向DigiCert提交资料申请新证书使用，却无法在吊销证书前进行证书申请操作。

由于从证书完成吊销到证书审批签发需要一定时间（内地至少五个工作日），所以必将出现网站无证书的“断档期”，导致HTTPS页面无法访问。多数网站只能承受一天，甚至半天的“断档期”，因此只有加快证书申请速度，才能缩减“断档期”，把对网站业务的影响降到最低。

“当日签发”成重点 国产证书显优势

如果希望缩减“断档期”，一个有效方法是申请国内CA的证书，较国外CA来讲，本土CA不仅在证书审核上效率更高，且在服务方面也更为人性化。例如在近期，某内地银行信用卡中心网站使用的一张SSL证书于周日到期，因新证书的申请尚在审核中，客户服务被迫中断且收到大量终端用户的问询。银行本希望CA加急处理，但该证书由国外CA签发，周日休息不提供服务。无奈之下，银行联系了国内CA中国金融认证中心（CFCA）。在收到银行的请求后，CFCA立即开启应急处理流程，当日即签发SSL证书，使信用卡中心网站在当日恢复服务。

随着国内SSL证书申请、续期需求的增加及未来可能出现大批赛门铁克证书更换的场景，越来越多的网站需要快速、甚至是当日获得证书，能否“当日签发”将成为网站选择SSL证书的重要选项之一。这对国内CA无疑是个利好，但这种利好应该建立在完善的产品性能和风控之上，否则用户还是很难选择国产证书。

而作为唯一入根所有浏览器系统的中国CA，CFCA不仅保证了审批的高效，还提供性能媲美国外证书的国产证书及严格遵循国际标准的证书安全体系，协助各大网站将证书“断档期”控制在可接受的范围内，减少国际SSL市场波动对国内用户的影响。