十年前,如果你的網站想要掛上那個代表安全的「綠色鎖頭」,你得經歷填寫繁瑣的表格、驗證身份,還得每年向憑證授權中心(CA)繳納一筆不小的「保護費」。那時候,HTTPS 是電子商務和大型企業、較有技術的工作者與網站開發商在弄的,全球只有不到 30% 的網頁流量經過加密。
就在這週,全球最大的發證機構 Let’s Encrypt 發布了十週年回顧,這不僅是一間非營利組織的里程碑,更是整個網路安全產業翻天覆地變化的縮影。CyberQ 以服務既有客戶和過往經驗的角度,來聊聊這十年 SSL/TLS 憑證市場是如何從「付費選配」走向「自動化標準配備」的。
Figure Credit : Let’s Encrypt
破壞式創新:Let’s Encrypt 的「免費」與「自動化」
在 2015 年 Let’s Encrypt 發出第一張憑證之前,SSL 市場是一個高度商業化的領域。賽門鐵克(Symantec)、Comodo(現 Sectigo)、GeoTrust 等巨頭佔據主導地位。當時的痛點不僅是價格,更是管理成本。管理員需要手動生成 CSR、手動驗證、手動安裝,一旦忘記續費,服務就會中斷。
Let’s Encrypt 做對了兩件事,徹底改寫了遊戲規則:
免費(Free): 移除了加密的金錢門檻,讓個人部落格、小型專案也能輕鬆部署 HTTPS。
自動化(Automated): 透過 ACME 協定(Automated Certificate Management Environment),將申請、驗證、安裝、續期全流程程式化。
根據 Let’s Encrypt 的資料,全球網頁加密流量佔比已從十年前的 <30% 飆升至如今的 80% 以上(在美國與其他資訊先進的國家甚至接近 95%)。如今,他們每天簽發數千萬張憑證,累計簽發量早已突破數十億大關,成為市場佔有率最高的 CA (憑證授權中心)。
付費 DV 憑證市占率銳減,聚焦企業驗證(OV)、延伸驗證(EV)與 CLM
Let’s Encrypt 的崛起,最直接衝擊的是付費網域驗證(DV)憑證的市場。過去,GoDaddy 或 Namecheap 每年賣你幾百塊台幣的基礎 SSL 憑證,其功能在技術層面上與 Let’s Encrypt 的免費憑證並無二致(同樣是 256 位元加密,同樣只驗證網域控制權)。
這迫使傳統 CA 廠商轉型。現在的付費市場主要集中在:
企業驗證(OV)與延伸驗證(EV): 雖然瀏覽器不再在網址列顯示顯眼的「綠色公司名稱」,但在金融、支付與大型企業場景,驗證「網站背後是誰」仍然是法規遵循與信任建立的剛需。
管理服務與 SLA: 企業付錢買的不再只是加密,而是「出了事有人負責」的保險、更強大的憑證管理平台(CLM),以及技術支援。
趨勢:憑證壽命的「大縮水」與強制的自動化
除了免費化,這十年另一個顯著趨勢是 「憑證有效期的縮短」。
2015 年前: 你可以買到效期 3-5 年的憑證。
2018 年: 縮短至 2 年(825 天)。
2020 年: Apple 與 Google 聯手推動,將效期強壓至 1 年(398 天)。
現在與未來: Google 已提案將效期進一步縮短至 90 天(甚至更短)。
為什麼?為了安全。更換金鑰的頻率越高,金鑰被破解或濫用的風險窗口就越小。
這也驗證了 Let’s Encrypt 當初設定「90 天效期」的前瞻性。在 90 天甚至 45 天的效期下,「人工手動更新」在技術上已不可行。IT 管理員不可能每三個月手動去幫公司幾百個子網域更新憑證。因此,自動化(Automation)不再是選項,而是生存的必要條件。
當安全變得像空氣一樣
CyberQ 回顧這十年,SSL 憑證市場經歷了從「奢侈品」到「水電基礎設施」的轉變。Let’s Encrypt 最大的貢獻,或許不是發了多少張憑證,而是它讓 HTTPS 變得如此理所當然,以至於我們幾乎忘了它的存在。
以 QNAP NAS 來說,它的系統暨內建了 Let’s Encrypt 的支援,每三個月自動定期更新 NAS 機器中你設定好名稱的域名,這讓日常工作與開啟兩階段驗證或透過安全金鑰進行無密碼登入時更便利,也是必選項。
CyberQ 認為,對於網站管理者與企業來說,未來的挑戰不在於「買不買憑證」,而在於如何建立一套敏捷的憑證生命週期管理(CLM)機制。隨著量子電腦威脅的逼近與效期的持續縮短,誰能擁有最強的自動化派送能力,誰才能在下一個資安十年中站穩腳步。
