首页 > CEO博客

中国SSL证书市场发展趋势分析简报-2025Q1
2025年4月1日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

本报告由 零信密码应用研究院零信浏览器 全球独家联合发布,电子版首发渠道为零信密码应用研究院微信公众号:zotrusi和零信官网CEO博客栏目(HTML版本和PDF版本(有数字签名和时间戳))。

本次发布的是定期发布的2025年第1季度分析报告,希望对我国SSL证书的产业发展和普及应用起到积极推动作用,特别是国密SSL证书的普及应用。本次简报继续发布全球CA为我国政府域名*.gov.cn签发的国际SSL证书的数据,这个重要领域的SSL证书签发数据非常有参考价值,可用于有关部门研判风险和制定相关风险管理政策和产业发展政策。

一、全球SSL证书统计数据分析

根据国际证书透明日志系统数据统计,截止到 2025年3月30日,已经在国际证书透明日志系统记录的未过期的全球信任的SSL证书有 11.0467亿 张,比上一季度增加了 7.05%,其中只验证域名的DV SSL证书、验证单位身份的OV SSL证书和扩展验证单位身份的EV SSL证书的签发量、占比和同上一季度环比数据如下表1所示,本季度的OV SSL证书占比比一季度增加了13.06%,说明微软云、Cloudflare和思科等大厂自动化签发O字段为其公司名称的OV SSL证书的签发量有大幅增加,实际上是为使用其云服务的网站和设备签发的,也就是说ACME自动化签发不仅仅适用于DV SSL证书,也可用于OV SSL证书和EV SSL证书。

全球SSL证书统计数据分析
表 1

全球 11.0467亿 张有效证书中,排名前十五大SSL证书提供商的证书签发量、占比和同上季度环比增长情况如下表2所示,第1位仍然是Let’s Encrypt,并且比上一季度增加了13.01%,市场占比比上季度有上升,第2位是谷歌,占比比上一季度略有下降,GoDaddy排名第3,在连续增长了4个季度后首次负增长。值得一提的是微软连续3个季度都在高速增长,环比增长分别是34%、81%和96%,从2024年Q3的第6位跃升到第4位,说明其云服务用户在持续增长中。传统CA机构DigiCert从上一季度的第4位降到了第5位,Sectigo保持了第7位不变,但是环比减少了6%,这是连续增长了3个季度后的首次负增长,应该与Sectigo停止签发免费90天证书的有关。而CDN服务提供商Cloudflare在本季度有55%的增长,估计是其证书签发能力有提升,把原先自动化签发LE和GTS的证书的用户自动化签发了自己品牌的证书。最值得关注的是亚数信息,连续3个季度大幅度的下降(23%/18%/11%),这可能与根CA不再提供免费90天证书和收费证书涨价有关。

全球SSL证书统计数据分析
表 2

本期继续直接采用表格形式列出全球前15大SSL证书提供商的情况,主要是希望用户能了解全球SSL证书市场的全貌,这15大中美国不仅占据前8大,而且共有11家,占比73%,证书签发量占98.13%。其中网安厂商思科虽然环比有减少,但是排名上升了一位,这是因为传统CA机构GlobalSign下降了一位。统计表格展示公司类型的目的是希望给我国各相关行业领导者战略决策参考,一定要改变只有CA机构才能签发SSL证书的传统旧观念!比如说,互联网软件厂商就应该向LE学习,LE就是编写一个自动化申请证书的软件而一跃成为全球第一大SSL证书提供商,并且拥有自己顶级根的CA机构。还有互联网公司、云服务提供商、设备制造商、网安公司)等等,都可以通过定制中级根方式来实现自动化为用户提供自己品牌的SSL证书,从而实现行业逆袭。

如下图1所示,用圆饼图直观展示全球前15大SSL证书提供商的证书签发量排名和占比情况。

全球SSL证书统计数据分析
图 1

本季度的数据中的DV SSL证书比例为89.68%,这是连续3个季度高于90%的首次低于90%,这个数据趋势也值得关注,同时请注意OV SSL证书本季度有两位数的增长,是否意味着OV SSL证书的自动化已经呈现增长趋势,这个还有待后续的数据观察。本季度零信技术推出的内网网关自动化配置的双算法SSL证书也都是OV SSL证书,这应该同思科推出的物联网设备证书都是OV SSL证书一样的考虑,如果技术上可行,当然是含单位身份信息的OV SSL证书更受欢迎。

只有自动化实现了SSL证书的申请、部署和续期,才能赢得市场份额,这是唯一的一条路,不仅国际SSL证书如此,国密SSL证书也是如此。不仅DV SSL证书如此,OV SSL证书也一样如此。

二、我国政府网站的SSL证书统计数据分析

我国已经基本上实现了所有政务服务“一网通办”的目标,但是政府网站和电子政务系统的安全状况如何,可以从SSL证书的申请量来反映。我国各省市已经启动了全省一个主域名,下属各局委办都是使用其子域名的管理方式,所以,我们检索了一个省的主域名就能得到这个省的省级政府网站一共申请了多少张SSL证书,如广东省统计*.gd.gov.cn的域名(这里的*指gd.gov.cn下的所有子域名),各地市使用了自己域名,如深圳市的*.sz.gov.cn并不在广东省的统计数据中。如果某省市启用了两个域名,如上海市的sh.gov.cn和shanghai.gov.cn,则合并统计两个域名的SSL证书申请数量。

具体数据如下表3所示,31个省市自治区省级政府域名所申请的有效SSL证书数量合计为 1633 张,比上一季度减少了 8.21%,这是在连续两个季度减少,并且是24个省市自治区都在减少,上季度是14个省市自治区为负增长。

我国政府网站的SSL证书统计数据分析
表 3

这么大的比例的负增长引起了研究团队的注意,进一步的数据挖掘表明,这是由于已有25个省市自治区申请了通配证书,占比已经达到81%,具体数据见下表4所示,31个省市自治区官网域名申请的DV通配证书有4张,OV通配证书有21张。一张通配证书搞定所有子域名,这固然省钱和简化了证书申请。但是,这个采用通配证书的部署方案非常不安全,同一个密钥在几十台、几百台、甚至上千台服务器中部署使用,一旦某台服务器被攻击而泄露了证书私钥,则这张证书必须吊销,则需要重新申请新的证书和重新部署证书,这将大大增加运维成本。所以,不应该采取不安全的通配证书部署模式,安全的部署方式是一网站一密钥一证书,确保如果一台服务器出现问题,不影响其他服务器的正常运行,有力保障密钥安全和大大降低证书维护成本。微软云早在2015年就已经实现了通配证书仅用于同一台物理服务器的Web网站使用,这种安全运维方式值得所有用户学习,因为系统运维的人工成本和安全成本比一张SSL证书要贵很多,不要贪便宜而“丢西瓜捡芝麻”和“因小失大”! 研究团队同时还发现一个问题就是有3个省政府网站部署的OV SSL证书O字段是公司名称,这是错误签发的OV SSL证书,负责任的CA机构一定不会允许给*.gov.cn域名签发公司名称的OV SSL证书。同时,这也是相关的系统集成商对政府用户的不负责任!如果无法提供政府单位的身份证明材料,可以申请无需提交证明材料的DV SSL证书。

我国政府网站的SSL证书统计数据分析
表 4

对于国密算法SSL证书的部署情况,本季度新增了江西省,31个省市自治区省级政府官网中部署了国密SSL证书的只有3个省:湖南省、陕西省和江西省。从这个数据可以看出国密改造之难,唯一可行的解决方案只有部署国密HTTPS加密自动化网关,原系统零改造,自动化实现国密HTTPS加密,只有这样才能普及实现国密HTTPS加密来保障电子政务系统安全。

对于默认HTTPS加密这一项,本月只有18个省政府官网自动启用HTTPS加密,虽然有更多的省政府网站已经部署了SSL证书,但是并没有自动切换到HTTPS加密方式,这等于没有部署SSL证书,并没有起到加密保护的作用,因为用户并不会手动加上https来访问的。据了解,这是考虑到HTTPS加密会增加服务器的加解密负担而故意这样设置的,如果真的是这个原因,推荐在服务器之前部署国密HTTPS加密自动化网关,把HTTPS加解密任务交由网关来完成,能节省原服务器的20%-30%算力,并且不用人工申请和部署SSL证书,一箭双雕,这才是最佳解决方案,而不应该担心服务器负载情况而不启用HTTPS加密。

对于省政府官网是否有云WAF防护这一项,31个省市自治区中有5个省政府网站有WAF防护,同时启用了默认https加密,只有这样,WAF防护才真正发挥防护作用。当然,我们无法知道政府网站是否采用了本地化部署了WAF设备防护,所以这项数据仅供参考。本次统计的“安全评级”项的数据来自于零信浏览器的实时评级,对于没有默认启用https加密的网站不参与安全评级。

如下图2所示,用圆饼图直观展示全国31个省市自治区政府网站的证书签发量排名和占比情况。

我国政府网站的SSL证书统计数据分析
图 2

我们同时检索了 *.gov.cn 的SSL证书申请量为 14856 张,比上一季度减少了 5.07%,这个减少的趋势统各省市自治区官网域名相似,都是申请了通配证书而导致实际申请证书数量减少,大量部署通配证书的不安全问题应该引起各部委、各省市区县政府机构的高度重视。

我国各省市所有政府网站申请SSL证书的总量为14856张(不包括港澳台地区),含上面各省市自治区政府网站统计数据中的1633张。这些*.gov.cn域名的SSL证书中,各种证书类型数量和占比如下表5所示。从数据可以看出,政府用户仍然喜欢申请无需提供任何证明材料的DV SSL证书,占比68%。而需要提供身份认证证明材料的OV SSL证书的占比有微小上升,推荐政府用户向国内CA机构申请OV或EV SSL证书,如果要申请国外CA机构签发的SSL证书,则推荐申请DV SSL证书,以避免数据出境管理风险。

我国政府网站的SSL证书统计数据分析
表 5

为政府网站*.gov.cn签发这 14856 张SSL证书的SSL证书提供商前18位排名及签发数量和国别如下表6所示,鉴于SSL证书控制权在于顶级根CA,所以,我们同时列出了所有SSL证书提供商的顶级根证书是谁和属于哪个国家。对比上一期数据可以看出:美国CA-DigiCert下降了7%,这是连续7个季度在下降,可以看出政府用户更加青睐国内CA。

我国政府网站的SSL证书统计数据分析
表 6

如下图3所示,用圆饼图直观展示为我国政府网站的签发国际SSL证书的SSL证书提供商的排名和占比情况。

我国政府网站的SSL证书统计数据分析
图 3

我们同时还检索了港澳台地区的SSL证书申请量,如下表7所示。我国大陆各省市所有政府网站合计证书申请量为 14856 张,仍然比台湾省的证书申请量少,本季度大陆和港澳台地区政府网站的SSL证书申请量全都有不同幅度的减少。

我国政府网站的SSL证书统计数据分析
表 7

三、 我国本土国际SSL证书提供商的统计数据分析

我国本土国际SSL证书提供商的证书签发数量统计数据同样来自谷歌证书透明日志系统,真实可信,能准确反映我国本土国际SSL证书的提供能力和市场情况。“国际SSL证书”是指目前正在大量使用的采用国际算法 RSA或ECC的SSL证书。“本土SSL证书提供商”是指证书的中级根证书的O字段的国家是”CN(中国)”的机构,而之所以称之为“SSL证书提供商”,这是参考了国际上通用的名称-SSL Certificate Provider,可简称为 “SCP”,SSL证书作为一个互联网安全产品在国外并没有被定义为必须是CA机构才能提供,目前全球SSL证书市场份额排名前十的SCP中只有3家是CA机构,仅排名为第五、第七和第十,其余都是全球知名的互联网巨头和云服务提供商。

如下表8所示,本次列入统计的本土SSL证书提供商有16家,都是拥有自主品牌的全球信任的SSL中级根证书的SSL证书提供商,其他仅仅是某个品牌的代理商并不在统计之列。这16家SSL证书提供商中有7家公司是CA机构,有3家是知名的云服务提供商,其他7家是商业公司。

而这16家国际SSL证书提供商中,拥有自主顶级根证书并用于签发国际SSL证书的只有3家CA机构:中金认证、上海CA和数安时代,其中上海CA的根证书同波兰CA做了交叉签名(下表中表示为“x”),数安时代同时从定制中级根和自主根签发证书。其他13家证书提供商的SSL证书都是从国外CA定制品牌中级根证书签发,主要是美国CA-Sectigo、DigiCert和波兰CA-Assecods。

这16家国际SSL证书提供商签发的有效证书数合计为 96.5967 万张,比上一季度下降了 17.96%,对比全球数据增加了 7%,国内SSL证书提供商的市场份额已连续3个季度都在下降,这16家的总和在全球SSL证书提供商中排名降到第 15 位。本期虽然总数有下降,但是4家机构的增幅超过两位数。对比上一季度数据,亚数虽然还保持第一位,但是连续3个季度两位数的负增长,本季度跌破80万张,这个值得注意。零信证签下降了4位,主要是Sectigo不再提供免费90天DV SSL证书,新网数码上升了两位,合肥网盾、上海CA和天威诚信上升了1位,中金认证下降了1位。

我国本土国际SSL证书提供商的统计数据分析
表 8

本期合计统计 96万 多张SSL证书中各种类型的占比数据如下表9所示,DV SSL证书占比高达 97%,这个比例比全球市场的DV SSL证书的占比90%高出不少,这说明了我国用户比全球用户更加喜欢无需提供任何身份证明材料的DV SSL证书,因为目前用户不愿意提供身份认证材料给国外CA,认证审核时间长和存在数据出境管理风险,这也可能是政府用户选择向国内CA申请OV/EV SSL证书的主要原因。

我国本土国际SSL证书提供商的统计数据分析
表 9

四、 我国国密SSL证书提供商的统计数据分析

本期发布的国密SSL证书数据来自零信国密证书透明日志系统和来自主动上报的各个零信浏览器信任的CA机构,由于各家CA上报的数据无法核实是否可信,所以,本次报告的国密SSL证书数据仅供参考。合计 62553 张,比上一季度增长了 33%,连续10个季度持续快速增长,这是一个可喜的数据,说明我国的国密改造工作正在如火如荼进行中,增长最多的是网银系统用国密SSL证书,其次是政府网站和政务服务系统。

本季度无新增CA机构支持国密证书透明标准草案,希望更多了零信浏览器信任的CA机构签发的国密SSL证书支持国密证书透明,一旦有5家CA机构签发的国密SSL证书支持国密证书透明标准草案,本报告将像国际SSL证书一样列表排名各个商密SSL证书提供商签发的商密SSL证书,以帮助用户在选购商密SSL证书时优先选择支持国密证书透明的商密SSL证书提供商,从而保障用户自身的合法权益和网站安全。证书透明,向全世界告白-这张证书是我签发的,能大大提升SSL证书提供商的品牌知名度!

我们希望有更多机构,包括国家相关管理部门,能提供更加权威的国密证书透明日志服务。只有所有CA机构签发的商密SSL证书都像国际SSL证书一样都提交到证书透明日志系统,商密SSL证书的签发统计数据才是真实的数据,商密SSL证书才能真正保障其自身安全,才能真正可靠地实现国密HTTPS加密,以保障我国网站系统安全。

五、 本期关注点

本期数据中最值得注意的只有一点,那就是通配SSL证书在政府网站的普遍滥用,这种部署方式表面上看起来省钱,实际上是得不偿失的不安全和大大增加运维成本,希望这一点能得到政府用户的高度重视。同时值得关注的是:去年7月1日生效的由网信办、中央编办、工信部和公安部联合发布的《互联网政务应用安全管理规定》要求所有政务应用都必须使用HTTPS加密安全连接为用户提供安全的政务服务,但是从过去的3个季度政府网站申请SSL证书数据来看,并没有真正得到落实。这里面的实施难度仍然是技术问题,人工申请证书和部署证书难度很大,国密改造难度大,要想普及实现HTTPS加密,唯一可行的解决方案是实现SSL证书自动化管理,自动化实现国密HTTPS加密。

本期值得关注的事件有两件:第一件是美国国家标准与技术研究院先后发布了NIST IR 8547 ipd和 NIST CSWP 39 ipd两个公开征求意见草案文件,前者给出了迈向后量子密码(PQC)标准过渡时间表,目前正在广泛使用的安全密码算法RSA-2048和ECC-256将在 2030年弃用,2035年禁用,要求业界必须提前做好所有相关系统和产品向PQC算法的迁移工作。后者则是强调加密敏捷性的重要性和实现方法,在不中断正在运行的系统流的情况下替换和调整网络协议、应用程序、软件、硬件和基础设施中的加密算法以实现弹性所需的功能,以平稳地快速迁移到抗量子密码应用。

第二件值得关注的是内网流量安全,本季度报告以前都在关注公网SSL证书自动化,也只有自动化才能普及应用SSL证书实现HTTPS来保障全球万物互联安全,也只有自动化才能达到目前全球有效SSL证书申请量为11亿张的市场规模。同理,内网流量都是机密数据,更加需要SSL证书自动化实现HTTPS加密,但是由于公网SSL证书不支持内网IP地址,无法或者说很难用于保障内网流量安全,而零信技术推出的内网SSL证书和内网SSL证书自动化解决方案弥补了市场空白,是解决目前普遍存在的内网流量仍然是明文HTTP方式的最佳解决方案,有望能解决长期困扰内网用户的急需解决的HTTP加密难题,所以这件事值得关注。

最后,无论是公网流量安全还是内网流量安全,为了保障我国网空安全,只有真正实现了普及应用商用密码才能真正保障我国网络空间安全,只有普及应用国密SSL证书实现国密HTTPS加密,才能保障我国网站系统安全,这是网络空间安全的基础安全保障,所以保障了网站安全也就是保护了国家安全,因为“没有网络安全就没有国家安全”。为了国家的长治久安,密码人和网安人大家继续齐加油,2025,密·中国。