目前，支持抗量子（PQC）TLS握手的网站正处于快速普及阶段，主要集中在头部互联网大厂、主流社交平台以及部分CDN托管的站点中。

根据近期的行业扫描数据，在全球排名前100万的网站中，已有约8.6%的站点成功完成了混合抗量子TLS握手。从排名分布来看，头部网站的普及率极高：排名前10的网站支持率达到了50%，排名前100的网站支持率也达到了43.8%。

在具体名单方面，排名前列的知名站点中，Google、Facebook、Instagram、Pinterest、Vimeo、WhatsApp、Reddit、CNN以及BBC等均已成功支持抗量子握手。不过，也有部分我们熟知的巨头目前尚未支持，例如Twitter、LinkedIn、Microsoft、Apple和Baidu等。

除了具体的网站，CDN（内容分发网络）厂商的普及也起到了巨大的推动作用。例如Cloudflare、Fastly和Shopify等平台，已经通过默认提供混合抗量子密码（如X25519+ML-KEM768），让大量托管在其上的中小型网站“被动”获得了抗量子保护。

需要注意的是，目前绝大多数网站采用的是“混合加密”模式（即经典算法与抗量子算法结合）。这意味着，只要你的浏览器（如Chrome、Firefox等）支持抗量子握手，在访问上述网站时，就会自动协商并使用抗量子TLS连接，从而防御未来量子计算机可能带来的“先收集，后解密”的安全威胁。

给网站配HTTPS，以前总让人觉得麻烦又费钱。证书要花钱买，申请流程繁琐，好不容易配上了，过几个月还得惦记着手动续期，稍微一忘，浏览器就亮红牌警告。现在，亚数TrustAsia搞的LiteSSL公益项目，算是把这块绊脚石给踢开了。

LiteSSL最大的卖点就是“免费”加“全自动”。它直接支持ACME自动化协议，这意味着什么？意味着从申请、验证到续期，全都可以交给机器搞定。开发者只要接入标准接口，就能一键部署，证书到期前系统自动给你换新的，完全不用人盯着。

而且，它不是那种随便弄个野路子证书糊弄人的。LiteSSL背后是亚数TrustAsia自己的根证书体系，RSA和ECC双专用根都部署好了，全球主流浏览器都认。最关键的是，它在国内部署了主要验证节点，这点对国内用户太友好了。以前用国外证书，域名控制权验证（DCV）经常因为网络问题超时失败，现在本土化验证，速度快、成功率高，不用对着报错日志干瞪眼。

说白了，LiteSSL就是想干一件事：把HTTPS变成互联网的基础设施，而不是少数人的奢侈品。不管你是个人开发者还是中小企业，不用再为了一张证书去走审批、掏腰包，零门槛就能让网站挂上安全锁。

目前项目还在起步阶段，官网已经开放体验。对于还在手动折腾证书的运维来说，这算是个实打实的减负工具。毕竟，能把重复劳动交给自动化的事，就别再浪费自己的头发了。

做过AWS中国区运维的人都知道，给CloudFront配置HTTPS是个让人头疼的“体力活”。和全球区可以直接用ACM一键申请、自动续期不同，中国区因为合规要求不支持ACM，这意味着你必须走一条繁琐的“手工路线”：找第三方申请证书、手动拆分、上传到IAM，再手动去CloudFront控制台替换。一旦手里管的域名多了，证书续期简直就是一场随时可能出错的噩梦。

好在，亚马逊云科技官方给出了一个破局方案——China CloudFront SSL Plugin。这个方案最大的亮点就是“自动化”和“几乎免费”。它通过CloudFormation一键部署，底层用无服务器架构（Lambda）配合开源的Certbot工具，直接对接Let's Encrypt来自动签发免费证书。

到了V2版本，这个插件更是解决了很多痛点。以前一个堆栈只能管一个项目，现在一个堆栈就能统一管理多个项目的域名集合，而且提供了一个直观的图形化前端页面，点几下鼠标就能完成证书颁发和管理，彻底告别了以前那种需要手动敲API命令的硬核操作。

整个流程非常丝滑：你只需要把域名解析托管在Route 53上，插件就会自动完成DNS验证、签发证书，并把证书存到S3和IAM里。最爽的是，它默认每30天就会自动触发一次更新，新证书生成后会自动替换CloudFront里关联的旧证书，真正实现了“零停机”无感续期。

至于大家关心的费用，它基本可以忽略不计。因为是无服务器架构，只有调用时才产生极少的Lambda运行费和少量的S3、DynamoDB存储费。唯一需要注意的是，如果你的域名还没托管在Route 53，迁移过去会产生每月3块多的托管费。

总而言之，如果你还在为AWS中国区的CloudFront证书手动续期而焦头烂额，强烈建议试试这个官方开源插件。只需三分钟部署，就能把原本复杂的运维工作变成后台自动运行的后台任务，彻底解放双手。

2026年1月5日凌晨5点，一场突如其来的全球停服让无数《英雄联盟》玩家措手不及。这场长达10小时的“强制休假”，并非因为什么史诗级的黑客攻击，也不是服务器遭遇毁灭性打击，罪魁祸首竟然是一张过期的SSL证书。

当玩家们焦急地刷新着客户端，甚至被逼出“修改电脑系统时间”这种上古时代的民间偏方时，拳头游戏的工程师们大概正经历着职业生涯中最尴尬的时刻。早在2016年，他们就签发了一张有效期长达十年的证书，却在2026年1月5日这个节点，眼睁睁看着它自然死亡。十年前，同样的剧情就曾上演过一次，当时工程师还在社区里道歉说“本应该自动续期的”。十年后，历史不仅重演，还精准地卡在了新年假期的尾巴上。

这起事件最让人啼笑皆非的，是它撕开了头部大厂“技术领先”的遮羞布。在金融、云计算等领域早已普及自动化监控的今天，一款支撑着全球电竞赛事、拥有数亿用户的顶级游戏，竟然在基础运维环节栽了跟头。更讽刺的是，当官方还在发布着“模糊的临时维护公告”、连个明确的开服时间都给不出时，民间大神们已经通过扒日志、改时间，跑在了专业团队的前面。

事后，官方火速将证书续期到了2125年。面对“百年老字号”的调侃，客服虽然辟谣说受技术规范限制不可能真续100年，但这波“一劳永逸”的操作，确实透着一股“吃一堑长一智”的仓皇。

说到底，这不仅仅是一个证书忘续费的笑话。它暴露出的是游戏行业在狂奔十年后，依然欠着沉重的“技术债”。当画面越来越精美、皮肤越来越华丽时，后台那些不起眼的基建却成了随时可能引爆的地雷。玩家们要的其实不多，无非是想在结束一天疲惫后，能顺畅地登录峡谷开一把黑。如果连这最基本的“数字通行证”都保不住，再宏大的电竞叙事，也难免显得有些苍白。

拿到证书后，别急着用，头一件事是把 Certum Cloud SimplySign 的代码签名功能给激活了。

接下来就是装软件。你要下载一个叫 SimplySign Desktop 的客户端，装在你用来签名的那台电脑上。这个 SimplySign 属于云端证书，不用插什么读卡器，也不用担心丢UKey，用手机App配合就能搞定签名。

软件下载
Windows 64位：[下载链接]
Windows 32位：[下载链接]
Mac OS X：[下载链接]
Debian/Ubuntu/Mint：[下载链接]
Centos/RedHat/Fedora：[下载链接]

安装时注意几点：
安装界面语言选英文，避免乱码。
安装路径随便你设。
到了组件选择那一步，只勾选 "SimplySign Desktop"，那个 proCertum SmartSign 别动它，不用装。

装好打开软件，用你注册的邮箱和手机上 SimplySign App 里显示的 Token 密码登录。

登录后软件会缩在右下角状态栏里，右键点开图标，选 "Manage certificates" -> "Certificate list"，就能看到你的证书了。双击证书，把弹窗里显示的指纹（Thumbprint）那一串字符复制下来，后面签名要用。

签名命令参考：
用 Signtool 签名时，直接套下面这个命令，记得把中间那串指纹替换成你刚才复制的，文件路径也改成你要签的文件位置。

signtool sign /v /fd sha256 /sha1 [你的证书指纹] /tr http://timestamp.sectigo.com /td sha256 [你的文件路径]

如果手头没有 Signtool 工具，直接找客服要一个专用的签名工具包就行。