不知道在看咱們公眾號的差友，當(dāng)年逃課上網(wǎng)，用 IE 瀏覽器逛學(xué)習(xí)網(wǎng)站的時(shí)候，有沒有被彈過 “數(shù)字安全證書” 彈窗。

或者有誰還記得，微信和 QQ 最開始都支持過網(wǎng)頁版登錄，但因?yàn)?HTTP 協(xié)議安全性的原因，后來陸續(xù)都停止維護(hù)了。

這兩個(gè)看似八桿子打不著的事情，其實(shí)都跟托尼今天要聊的主角 —— SSL 證書有關(guān)系。

事情的起因是這樣的，前段時(shí)間托尼看到了外網(wǎng)的一篇帖子，直接給我整不淡定了。

里面是這樣說的，高價(jià) SSL 證書是一場徹頭徹尾的互聯(lián)網(wǎng)騙局， 同時(shí)也是一個(gè)利潤率 49000% 的暴利行業(yè)。。。

這里要給不怎么了解網(wǎng)絡(luò)知識的小伙伴解釋一下，這里面提到的 SSL 證書，早就已經(jīng)成了當(dāng)代上網(wǎng)沖浪的標(biāo)配了。

它相當(dāng)于網(wǎng)站的身份證，作用是告訴用戶，你所瀏覽的網(wǎng)站，就是你那個(gè)你想瀏覽的網(wǎng)站，它沒有被人在中間動(dòng)過手腳，是安全的。

其實(shí)我們每天都在跟 SSL 證書打交道，不信的話 ——

你現(xiàn)在就可以打開電腦上的瀏覽器，打開百度。發(fā)現(xiàn)地址欄旁邊的小鎖圖標(biāo)了嗎？它其實(shí)就表示 “連接安全”。

繼續(xù)點(diǎn)擊 “證書有效” 按鈕，你就會看到百度正在使用的 SSL 安全證書。

當(dāng)瀏覽器訪問網(wǎng)站時(shí)，會先檢查網(wǎng)站的數(shù)字安全證書，是不是由權(quán)威證書頒發(fā)機(jī)構(gòu) （CA）頒發(fā)、證書中的域名是否與當(dāng)前訪問的域名一致、證書是否過期或被吊銷。。。

但凡其中有一項(xiàng)對不上，瀏覽器就會斷開和目標(biāo)網(wǎng)站的連接，并警告“您與此網(wǎng)站建立的連接不安全”。

文章開頭提到的證書彈窗，其實(shí)就是因?yàn)楫?dāng)年有些老網(wǎng)吧用的 WinXP、Win7 系統(tǒng)，他們內(nèi)置的 IE 瀏覽器上歲數(shù)了，識別不了那些用了新型加密算法的互聯(lián)網(wǎng)數(shù)字證書，所以瀏覽器才會提示你，你的上網(wǎng)行為存在風(fēng)險(xiǎn)。

這不是當(dāng)年的網(wǎng)頁彈窗哈，是由 B站博主 @ Isword先生 嘗試復(fù)現(xiàn)的

那這么一個(gè)看似正義的東西，是怎么變成一樁暴利買賣的呢？

這就要從 HTTP 協(xié)議說起了，托尼這里盡量長話短說 ——

HTTP 這玩意最開始被發(fā)明的時(shí)候，功能其實(shí)很簡單，就是負(fù)責(zé)在客戶端和服務(wù)器之間傳輸數(shù)據(jù)。

而且它還是個(gè) “防君子不防小人” 的協(xié)議：因?yàn)樵缙跊]有太多數(shù)據(jù)加密需求，所以由 HTTP 協(xié)議傳輸?shù)臄?shù)據(jù)包都是明文的。

這就意味著，有心人可以輕松劫持你發(fā)送和接收的所有信息，這里面自然也包括你的登錄密碼和你瀏覽的網(wǎng)頁內(nèi)容。

微信和 QQ 放棄網(wǎng)頁版，也有一部分是因?yàn)?HTTP 協(xié)議的這個(gè)特性。

直到 1994 年，Netscape —— 沒錯(cuò)，就是計(jì)算機(jī)歷史書里出現(xiàn)的網(wǎng)景瀏覽器的那家網(wǎng)景（Netscape），他們公司發(fā)明了 SSL 安全套接層技術(shù)，通過公鑰加密、私鑰解密，傳遞 “密碼本”，讓瀏覽器跟服務(wù)器之間能夠 “加密通話”、屏蔽第三方。

正是因?yàn)橛辛?SSL 技術(shù)的保障，大家上網(wǎng)沖浪才會更安全。而證明某條 SSL 連接可信的證據(jù)，就是這段連接所使用的 SSL 證書。

此時(shí)，瀏覽器里面網(wǎng)址的前綴也會從 HTTP 變成 HTTPS。

也就是說，HTTPS = HTTP + SSL/TLS。經(jīng)過 SSL/TLS 技術(shù)加密的 HTTP 連接，就是安全的。

就像消費(fèi)者和商家之間，需要有個(gè)支付寶，來充當(dāng)獨(dú)立可信的第三方，保證交易安全。實(shí)際上，用戶和瀏覽器之間，也有一個(gè)有公信力的角色，來證明 “這個(gè) SSL 證書是某個(gè)機(jī)構(gòu)簽發(fā)的，那么它就是可信的”。

這個(gè)被廣泛信任的中間角色，就是 CA 機(jī)構(gòu)。

只有同時(shí)被操作系統(tǒng)和瀏覽器兩方都信任的 CA 機(jī)構(gòu)，才能簽發(fā)出有效的、不會被彈窗的 SSL 證書。

換句話說，成為 CA 機(jī)構(gòu)是有一定門檻的，而這份門檻，最終導(dǎo)致了幾大證書簽發(fā)機(jī)構(gòu)事實(shí)上的壟斷，暴利就是這么來的 ——

隨手打開一個(gè)賣 SSL 證書的網(wǎng)站，你會發(fā)現(xiàn)，簽發(fā)機(jī)構(gòu)給證書的命名五花八門，比現(xiàn)在手機(jī)圈的 “Turbo Pro+、競速版” 還要亂。。。

我?guī)痛蠹液唵卫砹艘幌?，其?shí)這些證書大致可以分為三類：域名驗(yàn)證（DV）證書、組織驗(yàn)證（OV）證書和擴(kuò)展驗(yàn)證（EV）證書，咱們就先簡單理解成標(biāo)準(zhǔn)版、Pro 版 和 Pro Max 版吧，那價(jià)格嘛，當(dāng)然也是跟著水漲船高。。。

按照這些 SSL 證書網(wǎng)站的說法，DV 證書只驗(yàn)證某個(gè)網(wǎng)站的域名是否屬于申請人。

而更高等級的 OV 和 EV 證書，需要更嚴(yán)格的人工審核，比如用營業(yè)執(zhí)照和法人證件申請，甚至有些簽發(fā)機(jī)構(gòu)還會 “線下真實(shí)” 用戶，實(shí)地考察，驗(yàn)證周期也會更長。

不光這樣，簽發(fā)好的高級證書，還會在用戶瀏覽器的網(wǎng)址欄里面，額外顯示公司的名稱，降低用戶 “被釣魚” 的風(fēng)險(xiǎn)；作為對比，入門級別的證書就只能顯示一個(gè)小鎖，不會顯示公司名稱。

明顯是瞅準(zhǔn)了大家對于安全這個(gè)事兒的加碼心理。想要更安全，就得多掏錢，買更高級的證書。

但事實(shí)真的是這樣嗎？

首先，仔細(xì)看這些所謂的安全等級不同的證書，用到的加密算法和密鑰長度等，是一模一樣的。也就是在技術(shù)層面上，不同等級的 SSL 證書，加密強(qiáng)度完全相同。。。

那這樣一來，OV/EV 證書的高價(jià)，就體現(xiàn)在配套服務(wù)上了，比如很多 CA 機(jī)構(gòu)所宣傳的 “更嚴(yán)格的人工審核” 。。。

但托尼身邊還真有同事實(shí)際買過 SSL 證書，對此我只能說，OV/EV 證書的簽發(fā)，不會和核查真實(shí)企業(yè)身份之類的要素綁定，那只是某些機(jī)構(gòu)額外做出的要求。

甚至這位同事還遇到過一種情況，在他沒給某個(gè)機(jī)構(gòu)營業(yè)執(zhí)照、公司名稱也打錯(cuò)的情況下，對方依舊打包票說能簽。。。

這種離譜的經(jīng)歷，讓我聯(lián)想到，以前 CA 機(jī)構(gòu)整過的、同樣性質(zhì)的爛活 ——

2017 年，Google 發(fā)現(xiàn)，當(dāng)時(shí)行業(yè)最大的 SSL 證書提供商賽門鐵克（Symantec），在未嚴(yán)格驗(yàn)證域名所有權(quán)的情況下，錯(cuò)誤簽發(fā)了超過 3 萬張 SSL 證書。

賽門鐵克作為一個(gè)當(dāng)時(shí)來說，可信度最高的 CA，已經(jīng)是躺著賺錢了，卻依舊存在濫發(fā)證書的情況。。。這次的事故，最終導(dǎo)致 2018 年谷歌徹底刪除所有賽門鐵克的根證書，后者也被迫把旗下的 CA 業(yè)務(wù)出售給了 DigiCert。

在之后的 2019 年，Chrome 和 Firefox 瀏覽器干脆就把 “在地址欄顯示 EV 證書” 的特性給移除了。

谷歌的說法是，經(jīng)過調(diào)查發(fā)現(xiàn)，擴(kuò)展信息已經(jīng)無法再按預(yù)期保護(hù)用戶。原因咱們前面也說了，即使是詐騙公司，只要有公司實(shí)體，也可以想辦法獲得一個(gè)寫著公司信息的地址欄。。。

再加上，現(xiàn)在大家?guī)缀醵际侵苯佑?APP 了，而 APP 沒有網(wǎng)址欄，所以高價(jià) SSL 證書的特別標(biāo)識就沒啥太大用處。從這個(gè)角度來說，無論是便宜的 DV 證書，還是高價(jià)的 OV、EV 證書，它們的安全性都是一樣的。

所以不管怎么看，都是用戶一邊在掏冤枉錢，一邊忍受 CA 機(jī)構(gòu)們的騷操作。這就有了文章開頭，托尼看到的那篇瘋狂控訴高價(jià) SSL 證書的帖子。

但其實(shí)在更早之前，就有另一撥人站出來解決這個(gè)問題了 ——

2014 年，互聯(lián)網(wǎng)安全研究小組（ISRG）成立了一個(gè)名為 Let's Encrypt 的公益項(xiàng)目。他們有個(gè)很牛叉的目標(biāo)，那就是讓 SSL 證書免費(fèi)且自動(dòng)化。

當(dāng)然他們不只是嘴上說說，組織的真實(shí)戰(zhàn)績可查 ——

從 2015 年發(fā)布免費(fèi) SSL 證書以來，十年過去了，這個(gè)組織累計(jì)頒發(fā)的 SSL 證書數(shù)量超過 5 億張。而且根據(jù) W3Techs 統(tǒng)計(jì)的數(shù)據(jù)，如今 Let 's Encrypt 的市場占有率更是超過 60%。

免費(fèi)證書開始成為市場主流，Let 's Encrypt 們吃掉的自然是付費(fèi) SSL 證書的份額，所以你會發(fā)現(xiàn)付費(fèi) SSL 證書行業(yè)，正在逐步變得規(guī)范 ——

比如說，面對競爭，一些主流的 CA 機(jī)構(gòu)開始降價(jià)，甚至提供免費(fèi)的 DV 證書；也有一些傳統(tǒng)的 CA 機(jī)構(gòu)，也開始向 Let's Encrypt 取經(jīng)，開始了證書的自動(dòng)簽發(fā)、自動(dòng)續(xù)期，屬于是打不過就加入了。

那是不是隨著 Let 's Encrypt 市場份額的進(jìn)一步擴(kuò)大，免費(fèi)證書就能完全取代付費(fèi) SSL 證書呢？

也不見得。

因?yàn)?SSL 簽發(fā)行業(yè)的攤子正在越變越大 ——

一方面，瀏覽器行業(yè)默認(rèn)推廣 HTTPS 協(xié)議，導(dǎo)致幾乎所有的網(wǎng)站所有者，都必須部署 SSL 證書。

另一方面，越來越多的 IoT 聯(lián)網(wǎng)設(shè)備，催生了龐大的公網(wǎng)加密通信需求和 SSL 證書需求，這也成了 CA 機(jī)構(gòu)一個(gè)新的收入增長點(diǎn)。

更重要的一點(diǎn)是，像政府、金融、醫(yī)療行業(yè)，以及一些大企業(yè)的門戶網(wǎng)站，存在一些合規(guī)審查，會強(qiáng)制要求這類網(wǎng)站安裝 OV 或者 EV 這樣的付費(fèi) SSL 證書。

所以，現(xiàn)在的實(shí)際情況，其實(shí)是這樣：SSL 簽發(fā)機(jī)構(gòu)依舊能賺錢，只不過因?yàn)?Let 's Encrypt 這樣的公益組織存在，曾經(jīng)的暴利一去不復(fù)返。大家都開始老實(shí)本分賺錢，是好事兒。

撰文：Levi

編輯：米羅 & 面線

美編：煥妍

圖片、資料來源：

csdn——一個(gè)瀏覽器插件，繞過限制，登錄微信網(wǎng)頁版！

webhostmost——SSL Certificates in 2025: The Most Profitable Internet Scam Ever

aliyun.com

biaodianfu.com

cnblogs.com

零信技術(shù)公眾號

部分圖片源自網(wǎng)絡(luò)