Sectigo 与全球研究机构 Omdia 联合发布了《2025年加密敏捷性现状报告》。本文解读了其中关键发现,基于全球IT、技术运营、网络安全及风险部门中C级别、副总裁和总监级别管理者的调研结果,揭示了各组织为后量子密码学所做的准备情况及存在的不足。
在现代计算史上首次,支撑全球数字安全的密码学体系必须被彻底更换。曾经的遥远预言正迅速成为现实。Sectigo 与 Omdia 合作编写的这份报告,清晰展现了企业在这场重大变革中所处的状态。
从不断缩短的证书有效期到量子计算的潜在威胁,企业正经历着密码基础设施管理与安全方面的高风险转型。核心结论很明确:加密敏捷性必须成为企业的核心战略,才能在这个新时代中生存。
什么是加密敏捷性?为何它如此重要?
加密敏捷性是指快速发现、管理、更换和调整密码资产(包括证书和加密算法)以应对不断演变的安全威胁的能力。
两大紧迫趋势正推动加密敏捷性成为必备能力:
- SSL/TLS 证书有效期缩短,将从如今的398天减少至2029年的仅47天;
- 2030年前向后量子密码学(PQC)的迁移。
这两者的结合要求企业采取新方法:将自动化、可视化和持续密码适应能力融入安全架构。建议路径是:自动化证书生命周期管理(CLM)。
证书有效期缩短:加密敏捷性的首要警示
从2026年3月15日起,公开SSL/TLS证书的最长有效期将缩短至200天(需每6个月续期),到2029年进一步缩短至47天(需每月续期)。这意味着:
- 续期次数增加12倍
- 工作量增加12倍
- 引发服务中断的风险增加12倍
截止日期 | 公开TLS最长有效期 | 续期频率 | 最长DCV重用期限 |
2026年3月15日 | 200天 | 6个月 | 200天 |
2027年3月15日 | 100天 | 3个月 | 100天 |
2029年3月15日 | 47天 | 1个月 | 10天 |
根据报告:
- 96%的企业担忧证书有效期缩短对业务的影响
- 不到五分之一(19%)的企业准备好应对月度续期
- 仅28%的企业拥有完整的证书清单
- 只有13%的企业能有效追踪非法或影子证书
运营压力十分严峻:若不实现自动化,到2029年续期工作量、风险和操作量都将增加12倍。
手动证书管理是不可承受的风险
随着证书有效期的缩短,IT和安全团队的负担呈指数级增长。报告显示:
- 仅53%的企业自动化了证书续期
- 三分之一(33%)的企业自动化证书部署,其余仍依赖手动
- 仅32%的企业自动化了域名控制验证(DCV)
这意味着大多数企业仍依赖手动方式,这是一场危险的赌博——因为哪怕一张过期证书就可能导致服务中断、合规失败和收入损失。
加密敏捷性始于自动化
报告中最令人鼓舞的发现是,90%的企业认识到为短期证书有效期做准备与后量子密码学(PQC) readiness 的工作直接重合。这意味着今天投资于自动化和证书生命周期管理——即证书敏捷性的基础——是为明天的加密敏捷性奠定坚实基础。
然而,尽管理解证书敏捷性与加密敏捷性之间的关联,许多企业仍停滞不前:
- 仅5%的企业完全实现了证书管理自动化
- 57%的企业认为其他优先事项是自动化采用的主要障碍
- 高达95%的企业仍至少部分依赖手动流程,尽管他们计划增加自动化或仍在评估方案
这显示出认知与实际执行之间存在危险的脱节。
量子威胁已迫在眉睫
证书有效期缩短的截止日即将到来,而这背后有充分理由。量子计算虽看似尚有数年之遥,但已对当今的数字安全构成多重威胁。
量子机器可能在数年内解密当前加密数据,攻击者深知这一点。因此,“现在收割,以后解密”(HNDL)攻击已经出现——攻击者现在存储加密数据以供未来解密。一旦量子技术成熟,将能破解RSA和ECC算法,而这些算法保护着当今绝大多数数字数据。NIST计划在2030年淘汰这些算法,并在2035年完全禁用。
- 60%的企业对HNDL攻击“非常或极度担忧”
- 92%的企业预计在未来2-3年内增加对后量子密码学(PQC)的投资
- 但仅14%的企业完成了对量子脆弱系统的全面评估
风险真实存在,时间已经不多。
Y2K vs. Q-Day(量子日)
量子计算常被与Y2K问题相提并论,但绝非可轻视的话题。向后量子密码学(PQC)的过渡与Y2K挑战类似,都需要主动的、企业级的协调来应对迫在眉睫的系统性技术变革。正如Y2K要求彻底审查代码、系统和依赖关系以避免严重故障,PQC也需要彻底的运营变革,涵盖从基础设施、工具到治理和跨团队协作的每一个层面。
仅更换算法远远不够;企业必须重新思考密码技术的集成、管理和扩展方式,优先考虑与现有平台的集成(58%)、实施的便捷性(55%)和自动化选项(49%)。在这两种情况下,成功的关键在于将变革视为IT、安全和业务领导层的共同责任,通过深思熟虑、协调一致的步骤而非临时补救来推进。
Y2K的教训很明确:早期投资于可视化、自动化和协作的企业将以韧性应对PQC,而拖延者则可能在需求紧迫时措手不及。
维度 | Y2K | Q-Day(量子日) |
目标日期 | 明确的2000年1月1日 | 未知,预计2030年 |
威胁持续时间 | 有限:Y2K前无威胁,数月内结束 | 持续:攻击已开始,威胁延续至Q日后 |
系统影响 | 有限:应用和数据更新 | 广泛:所有互联系统、网络、应用和数据基础设施 |
提前实施时间 | 6-12个月 | 数年 |
补救工作量 | 数千亿美元,数百万工时 | 完全未知 |
通过密码学卓越中心(CCOE)缩小差距
报告呼吁以集中化方式应对密码现代化。随着复杂性增加,企业需要建立“密码学卓越中心”,以跨团队、工具和基础设施进行协调。
根据Gartner预测,到2028年,拥有CryptoCOE的企业将比没有的企业节省50%的PQC过渡成本。没有集中化战略,密码转型可能变得零散、混乱且低效。
前行之路
《加密敏捷性现状报告》的信息很明确:
- 截止日临近,手动证书管理无法应对续期频率的缩短;
- PQC是当下的战略优先项,而非未来之事;
- 自动化是降低风险、成本和复杂性的最有效途径。
加密敏捷性是一段旅程,但第一步无可妥协:立即自动化。这不仅让企业为47天证书有效期的未来做好准备,更为在量子时代生存构建了韧性。
