短效的传输层安全（TLS）和安全套接层（SSL）证书时代正在重塑企业的韧性。预计到2029年，证书有效期将缩短至47天——这一转变将使证书续期从周期性任务转变为持续性的运营职能。对于许多首席信息官（CIO）而言，这引发了关于系统中断风险、自动化准备情况以及监督问责制等关键问题。

在此次接受信息安全媒体集团（Information Security Media Group）的专访中，Sectigo首席执行官凯文·韦斯（Kevin Weiss）阐述了为何加密治理正迅速成为数字信任与运营连续性的基石。

在Sectigo，韦斯负责战略与运营，并与管理大规模证书自动化、可视化及加密治理的企业紧密合作。他在网络安全、企业软件和数字身份市场拥有近三十年的高管领导经验。

以下为编辑节选内容：

随着证书有效期缩短至47天，续期工作也从年度性事件转变为持续性运营，当证书轮换频率如此之高时，CIO们面临的最被低估的运营风险是什么？

最被低估的风险在于，人们认为证书管理仅仅是IT协调问题，而非全面的运营和业务连续性挑战。到2029年证书有效期缩短至47天，这将从根本上改变IT团队看待其运营模式的方式：续期现在已成为一个持续的过程，而非偶尔的任务。

我们的研究发现，目前仅有33%的企业采用自动化部署证书，而现实情况是，在47天的生命周期内，手动证书流程根本无法满足规模化需求。CIO们需要认识到，缺乏自动化将演变为治理和韧性问题。若缺乏自动化以及对证书管理的集中可视化，因证书过期导致的停机风险将急剧攀升，进而影响客户信任、收入来源，甚至合规性。

大型企业中，对证书可见性的认知与实际情况之间存在多大差距？

这种可见性差距通常远超企业的预期。IT 部门可能认为自己能够全面掌握整个环境中的证书状况，但大多数企业都面临着来自“游离证书”的重大风险。即使是初级开发人员也能获取并安装证书，而且他们确实会这样做，通常既不记录也不遵循既定流程。当这些“游离证书”过期时，系统就会瘫痪。负责系统维护的人员起初甚至无法理解为何会发生停机。一旦引入自动化发现机制，企业往往会发现其证书的实际覆盖范围要大数倍。鉴于证书有效期仅为47天，每个未知证书都将成为潜在的隐性停机风险，因此实现全面可视化已成为基本要求。

在此过渡期间，企业将在面向公众、内部及机器间通信等场景中同时运行长效和短效证书。企业最应优先进行压力测试的“高危区域”有哪些？

企业应根据停机后果的严重程度来确定测试环境的优先级。创收系统和面向客户的系统通常优先级较高，同时还包括对业务持续运营至关重要的关键业务系统。提供安全、隐私保护或业务连续性的系统同样优先级很高，因为其故障后果可能极其严重。纯粹面向员工和内部的系统，尽管对业务运营依然重要，但在发生短期中断时影响较小，因此通常可以优先级较低。

抗量子密码学被视为一项长期投资，但转型过程成本高昂且需历时数年。从成本规划的角度来看，企业应如何规划其抗量子准备工作？

抗量子密码学不应被视为一笔突如其来的开支，而应视为长期基础设施现代化的一部分。

企业应将抗量子密码学（PQC）纳入现有的证书更新或基础设施升级周期中。与其开展昂贵的“彻底替换”项目，不如将加密升级纳入常规的生命周期管理。已用于管理证书的自动化 CLM 系统可将算法更新纳入日常运营。企业还应采用支持灵活算法过渡的加密敏捷平台，从而减少长期返工和部署成本。更改加密标准将变成配置更新，而非全面重构架构。

需考量因降低停机风险和人力开销所带来的成本节约。证书停机事件可能给企业造成每次50万美元至500万美元以上的损失，具体取决于规模和行业。对于许多组织而言，无所作为所带来的运营、声誉和财务成本，远高于尽早构建量子就绪基础设施的增量成本。

归根结底，量子就绪是一项韧性投资，旨在为未来铺平道路，而非在压力下被动应对。