SSL证书从人工管理到自动化管理的技术革命已经来了,但是笔者从2月份到7月份拜访了多家CA时并没有感受到CA的危机感。笔者作为一个从事CA业务21年的CA老兵,当然对CA业务是情有独钟的。所幸的是,笔者离开了CA运营后才有机会跳出CA思维来思考CA的未来,这正应验了一句古话“不识庐山真面目,只缘身在此山中”,今天就好好讲讲笔者所识的“真面目”,因为笔者已经不“在此山中”,希望对还在“山中”的朋友们能有所启示和深思。
一、 CA卖对产品了?用户的真实需求是什么?这是一个对CA来讲很要命的问题,也是所有CA必须自问的问题。任何企业如果卖错了产品,一定是灾难性的后果,一定是投入越大亏得越多。CA机构也是如此,所以很有必要认真思考一下这个问题。
先思考一个问题:用户真的是需要SSL证书吗?不是!用户需要的是实现HTTPS加密来保障数据传输安全,并满足各种合规需要。SSL证书只是实现这个目的所需的中间产品,用户真正需要的是实现HTTPS加密!人饿了需要面包,而你是卖面粉的,用户当然首先选择去买面包而不是去买面粉。这就是为何全球第一大和第二大CA的SSL证书签发量已经从第一第二跌落到第五和第七的真正原因,因为有人在卖用户真正需要的HTTPS加密服务。
CA没有为用户提供用户所需的HTTPS加密,而是一直在销售实现HTTPS加密的工具—SSL证书,用户拿到这个工具后还得自己动手费力在Web服务器上部署才能实现HTTPS加密。而现在这个工具需要每个月都去用一次才能实现所需的目的,这就难怪用户会抛弃你了。全球第一大SSL证书市场份额(接近50%)的SSL证书提供商是Let’s Encrypt,其成功秘诀就是直接给用户所要的HTTPS加密服务,而不是给SSL证书。这个秘诀被云平台厂商和网安厂商采用后也已经大获成功,并成功夺取了原专属于的CA的SSL证书市场份额。
二、 是否敢革自己的命,才是赢的关键这句话对所有行业都是正确的。先说说正反两个案例。柯达是数码相机的发明者,但是也是败在数码相机上,因为数码相机项目一旦实施,将严重影响其胶卷的销售。这就是不敢革自己的命而失败的案例。再看一个敢革自己命的成功案例,就是微信,腾信QQ是其发家产品,是命根子的产品。但是,腾讯能让另外一个团队去搞微信来革自己的命,这就是战略决策,这个革自己命的决策让腾讯继续了QQ时代的辉煌并保住了其商业帝国地位。这就是敢革自己的命才能赢的案例。
对于CA来讲,卖证书是自己的命根子,但现在的全球市场都已经不再卖证书了,而是卖证书自动化解决方案,这种大势之下,如果CA还是想固守自己卖证书的阵地,那一定是会丢失阵地而亡的。因为用户需要的是HTTPS加密,而不是SSL证书!全球市场已经看到,CA已经跌倒了第五和第七的位置,还好,这两家CA反应快,及时为用户提供了证书自动化管理解决方案而没有阵亡。
CA如果现在不敢革自己的命,还是想继续卖证书,那结果一定是连卖证书的机会都没有了,因为用户会选择证书自动化提供商的产品离你而去。有人一定还会讲,最终实现HTTPS加密不还是需要SSL证书吗?是的,但不是用你的SSL证书,而是证书自动化提供商自己发证书或找其他家发证书,Let’s Encrypt就是自己发证书,谷歌就是自己发证书,微软和Cloudflare定制中级根自己发证书。CA如果敢革自己的命,由于HTTPS加密终究还是需要SSL证书,所以CA提供证书自动化解决方案,那就是自产自销,比仅提供证书自动化厂商更有优势,这就是敢革自己的命能赢的原因。
三、 第二次CA大商机已经来了,必须抓住才能赢5月16日国际标准组织CA/浏览器论坛通过了缩短SSL证书有效期的标准提案,这个标准离谷歌提出要缩短SSL证书有效期为90天的提议晚了两年多。笔者真的很遗憾看到这个标准提案被拖了两年多,这是CA机构一直在阻止其通过,直到Entrust被Distrust才吓醒CA让这个提案通过。但是,笔者很遗憾看到这个提案还是被改为先在明年3月15日实施200天,再推迟了一年到2027年3月15日实施100天,这个方案离谷歌2023年3月的最初提案整整推迟了4年!
笔者很痛惜全球CA们失去了4年宝贵的发展机会,古话说得好“早知今日,何必当初”,早点行动起来不就是拯救了自己吗?笔者坚信2027年的SSL证书签发数据一定是CA机构比现在的数据更惨,当然最惨的是Entrust在标准落地之前就阵亡了,这就是血的教训,Entrust可是PKI/CA系统的鼻祖。
我国CA机构的第一次大商机发生在25年前,那是普及应用USB Key个人证书和机构证书的时代,大家都是躺在挣钱。但是,随着各种政务服务去掉USB Key证书的要求,包括各种网银系统逐渐由手机APP取代网银UKey,CA机构的日子就每况愈下,以至于想把自己贱卖都卖不掉!怎么办?
现在第二次大商机来了,那就是SSL证书自动化管理大市场!这个本是CA机构的巨大市场机会居然CA机构想不通而要去阻止国际标准的落地,实在是非常不明智的决策。几百元甚至低到几十元一张的DV SSL证书的商业模式是失败的,这也就难怪许多CA机构对此不感兴趣的主要原因,也就是说销售SSL证书的商业模式有问题,对此国内CA们一直是观望态度非常明智和理性。
但是,现在商机来了,不是销售几十元的SSL证书,而是销售几十万元的双算法SSL证书的自动化管理解决方案。但请注意,国际SSL证书自动化管理也不是国内CA的机会,因为这个商机已经被国际软件巨头、国际云厂商巨头们抢占了,国内CA机构的商机在国密SSL证书加国际SSL证书的双证书自动化管理,这是国际巨头无法触及的领域,一个真正属于国内CA的巨大商机。四部委发布的《互联网政务应用安全管理规定》明确要求所有政务应用包括关键信息基础设施系统HTTPS加密所需的SSL证书都必须由依法设立的电子政务电子认证服务机构提供。《关键信息基础设施商用密码使用管理规定》要求所有关键信息基础设施必须全面采用商用密码来保障。这是巨大的市场商机,但是这个商机不应该是销售国密SSL证书,而是销售双算法SSL证书自动化管理解决方案,因为SSL证书有效期将缩短为47天,用户不可能去选购SSL证书并手动安装了,用户需要的自动化证书管理实现HTTPS加密。
这个巨大商机对于同时拥有国际根和国密根的CA机构是一个巨大的利好,如果这些CA机构能即刻为用户提供双算法SSL证书自动化管理解决方案,特别是用户所需的微改造方案,则一定是一个巨大市场机会。而这些拥有双根资源的CA机构如果仍然固守销售SSL证书的市场,不敢革自己的命,则一定会错失良机,把这个大好商机拱手让给了其他双算法SSL证书自动化管理解决方案提供商。
当然,不拥有国际根的CA机构不是没有了机会,这个机会是给所有CA机构的,但必须至少拥有自己的国密根,自己能签发国密SSL证书。至于所缺少的国际根可以花点钱从国际CA定制国际SSL中级根证书来解决,一样可以具备双算法SSL证书的生产能力,只要积极拥抱证书自动化,快速具备双算法SSL证书的自动化部署能力,也一样能抓住这个大商机。
SSL证书从人工管理到自动化管理是SSL证书自发明以来的一次技术革命,任何行业在技术革命到来之前只有敢革自己的命才能保命,CA也如此。在SSL证书已经不再成为一个可销售的产品即将到来之时,CA们何去何从,决定了将来的命运。CA机构是时候改变观念拿出勇气革自己的命了,涅槃升华为双算法SSL证书自动化提供商,只有这样才能抓住即将到来的巨大商机,拿回应该属于中国CA的市场份额和市场主导权,从而从“根”上保障我国网空安全,实现CA的社会价值和赢得应有的回报。
