不知道在看咱們公眾號的差友，當年逃課上網(wǎng)，用 IE 瀏覽器逛學習網(wǎng)站的時候，有沒有被彈過 “數(shù)字安全證書” 彈窗。

或者有誰還記得，微信和 QQ 最開始都支持過網(wǎng)頁版登錄，但因為 HTTP 協(xié)議安全性的原因，后來陸續(xù)都停止維護了。

這兩個看似八桿子打不著的事情，其實都跟托尼今天要聊的主角 —— SSL 證書有關系。

事情的起因是這樣的，前段時間托尼看到了外網(wǎng)的一篇帖子，直接給我整不淡定了。

里面是這樣說的，高價 SSL 證書是一場徹頭徹尾的互聯(lián)網(wǎng)騙局， 同時也是一個利潤率 49000% 的暴利行業(yè)。。。

這里要給不怎么了解網(wǎng)絡知識的小伙伴解釋一下，這里面提到的 SSL 證書，早就已經(jīng)成了當代上網(wǎng)沖浪的標配了。

它相當于網(wǎng)站的身份證，作用是告訴用戶，你所瀏覽的網(wǎng)站，就是你那個你想瀏覽的網(wǎng)站，它沒有被人在中間動過手腳，是安全的。

其實我們每天都在跟 SSL 證書打交道，不信的話 ——

你現(xiàn)在就可以打開電腦上的瀏覽器，打開百度。發(fā)現(xiàn)地址欄旁邊的小鎖圖標了嗎？它其實就表示 “連接安全”。

繼續(xù)點擊 “證書有效” 按鈕，你就會看到百度正在使用的 SSL 安全證書。

當瀏覽器訪問網(wǎng)站時，會先檢查網(wǎng)站的數(shù)字安全證書，是不是由權(quán)威證書頒發(fā)機構(gòu) （CA）頒發(fā)、證書中的域名是否與當前訪問的域名一致、證書是否過期或被吊銷。。。

但凡其中有一項對不上，瀏覽器就會斷開和目標網(wǎng)站的連接，并警告“您與此網(wǎng)站建立的連接不安全”。

文章開頭提到的證書彈窗，其實就是因為當年有些老網(wǎng)吧用的 WinXP、Win7 系統(tǒng)，他們內(nèi)置的 IE 瀏覽器上歲數(shù)了，識別不了那些用了新型加密算法的互聯(lián)網(wǎng)數(shù)字證書，所以瀏覽器才會提示你，你的上網(wǎng)行為存在風險。

這不是當年的網(wǎng)頁彈窗哈，是由 B站博主 @ Isword先生 嘗試復現(xiàn)的

那這么一個看似正義的東西，是怎么變成一樁暴利買賣的呢？

這就要從 HTTP 協(xié)議說起了，托尼這里盡量長話短說 ——

HTTP 這玩意最開始被發(fā)明的時候，功能其實很簡單，就是負責在客戶端和服務器之間傳輸數(shù)據(jù)。

而且它還是個 “防君子不防小人” 的協(xié)議：因為早期沒有太多數(shù)據(jù)加密需求，所以由 HTTP 協(xié)議傳輸?shù)臄?shù)據(jù)包都是明文的。

這就意味著，有心人可以輕松劫持你發(fā)送和接收的所有信息，這里面自然也包括你的登錄密碼和你瀏覽的網(wǎng)頁內(nèi)容。

微信和 QQ 放棄網(wǎng)頁版，也有一部分是因為 HTTP 協(xié)議的這個特性。

直到 1994 年，Netscape —— 沒錯，就是計算機歷史書里出現(xiàn)的網(wǎng)景瀏覽器的那家網(wǎng)景（Netscape），他們公司發(fā)明了 SSL 安全套接層技術，通過公鑰加密、私鑰解密，傳遞 “密碼本”，讓瀏覽器跟服務器之間能夠 “加密通話”、屏蔽第三方。

正是因為有了 SSL 技術的保障，大家上網(wǎng)沖浪才會更安全。而證明某條 SSL 連接可信的證據(jù)，就是這段連接所使用的 SSL 證書。

此時，瀏覽器里面網(wǎng)址的前綴也會從 HTTP 變成 HTTPS。

也就是說，HTTPS = HTTP + SSL/TLS。經(jīng)過 SSL/TLS 技術加密的 HTTP 連接，就是安全的。

就像消費者和商家之間，需要有個支付寶，來充當獨立可信的第三方，保證交易安全。實際上，用戶和瀏覽器之間，也有一個有公信力的角色，來證明 “這個 SSL 證書是某個機構(gòu)簽發(fā)的，那么它就是可信的”。

這個被廣泛信任的中間角色，就是 CA 機構(gòu)。

只有同時被操作系統(tǒng)和瀏覽器兩方都信任的 CA 機構(gòu)，才能簽發(fā)出有效的、不會被彈窗的 SSL 證書。

換句話說，成為 CA 機構(gòu)是有一定門檻的，而這份門檻，最終導致了幾大證書簽發(fā)機構(gòu)事實上的壟斷，暴利就是這么來的 ——

隨手打開一個賣 SSL 證書的網(wǎng)站，你會發(fā)現(xiàn)，簽發(fā)機構(gòu)給證書的命名五花八門，比現(xiàn)在手機圈的 “Turbo Pro+、競速版” 還要亂。。。

我?guī)痛蠹液唵卫砹艘幌拢鋵嵾@些證書大致可以分為三類：域名驗證（DV）證書、組織驗證（OV）證書和擴展驗證（EV）證書，咱們就先簡單理解成標準版、Pro 版 和 Pro Max 版吧，那價格嘛，當然也是跟著水漲船高。。。

按照這些 SSL 證書網(wǎng)站的說法，DV 證書只驗證某個網(wǎng)站的域名是否屬于申請人。

而更高等級的 OV 和 EV 證書，需要更嚴格的人工審核，比如用營業(yè)執(zhí)照和法人證件申請，甚至有些簽發(fā)機構(gòu)還會 “線下真實” 用戶，實地考察，驗證周期也會更長。

不光這樣，簽發(fā)好的高級證書，還會在用戶瀏覽器的網(wǎng)址欄里面，額外顯示公司的名稱，降低用戶 “被釣魚” 的風險；作為對比，入門級別的證書就只能顯示一個小鎖，不會顯示公司名稱。

明顯是瞅準了大家對于安全這個事兒的加碼心理。想要更安全，就得多掏錢，買更高級的證書。

但事實真的是這樣嗎？

首先，仔細看這些所謂的安全等級不同的證書，用到的加密算法和密鑰長度等，是一模一樣的。也就是在技術層面上，不同等級的 SSL 證書，加密強度完全相同。。。

那這樣一來，OV/EV 證書的高價，就體現(xiàn)在配套服務上了，比如很多 CA 機構(gòu)所宣傳的 “更嚴格的人工審核” 。。。

但托尼身邊還真有同事實際買過 SSL 證書，對此我只能說，OV/EV 證書的簽發(fā)，不會和核查真實企業(yè)身份之類的要素綁定，那只是某些機構(gòu)額外做出的要求。

甚至這位同事還遇到過一種情況，在他沒給某個機構(gòu)營業(yè)執(zhí)照、公司名稱也打錯的情況下，對方依舊打包票說能簽。。。

這種離譜的經(jīng)歷，讓我聯(lián)想到，以前 CA 機構(gòu)整過的、同樣性質(zhì)的爛活 ——

2017 年，Google 發(fā)現(xiàn)，當時行業(yè)最大的 SSL 證書提供商賽門鐵克（Symantec），在未嚴格驗證域名所有權(quán)的情況下，錯誤簽發(fā)了超過 3 萬張 SSL 證書。

賽門鐵克作為一個當時來說，可信度最高的 CA，已經(jīng)是躺著賺錢了，卻依舊存在濫發(fā)證書的情況。。。這次的事故，最終導致 2018 年谷歌徹底刪除所有賽門鐵克的根證書，后者也被迫把旗下的 CA 業(yè)務出售給了 DigiCert。

在之后的 2019 年，Chrome 和 Firefox 瀏覽器干脆就把 “在地址欄顯示 EV 證書” 的特性給移除了。

谷歌的說法是，經(jīng)過調(diào)查發(fā)現(xiàn)，擴展信息已經(jīng)無法再按預期保護用戶。原因咱們前面也說了，即使是詐騙公司，只要有公司實體，也可以想辦法獲得一個寫著公司信息的地址欄。。。

再加上，現(xiàn)在大家?guī)缀醵际侵苯佑?APP 了，而 APP 沒有網(wǎng)址欄，所以高價 SSL 證書的特別標識就沒啥太大用處。從這個角度來說，無論是便宜的 DV 證書，還是高價的 OV、EV 證書，它們的安全性都是一樣的。

所以不管怎么看，都是用戶一邊在掏冤枉錢，一邊忍受 CA 機構(gòu)們的騷操作。這就有了文章開頭，托尼看到的那篇瘋狂控訴高價 SSL 證書的帖子。

但其實在更早之前，就有另一撥人站出來解決這個問題了 ——

2014 年，互聯(lián)網(wǎng)安全研究小組（ISRG）成立了一個名為 Let's Encrypt 的公益項目。他們有個很牛叉的目標，那就是讓 SSL 證書免費且自動化。

當然他們不只是嘴上說說，組織的真實戰(zhàn)績可查 ——

從 2015 年發(fā)布免費 SSL 證書以來，十年過去了，這個組織累計頒發(fā)的 SSL 證書數(shù)量超過 5 億張。而且根據(jù) W3Techs 統(tǒng)計的數(shù)據(jù)，如今 Let 's Encrypt 的市場占有率更是超過 60%。

免費證書開始成為市場主流，Let 's Encrypt 們吃掉的自然是付費 SSL 證書的份額，所以你會發(fā)現(xiàn)付費 SSL 證書行業(yè)，正在逐步變得規(guī)范 ——

比如說，面對競爭，一些主流的 CA 機構(gòu)開始降價，甚至提供免費的 DV 證書；也有一些傳統(tǒng)的 CA 機構(gòu)，也開始向 Let's Encrypt 取經(jīng)，開始了證書的自動簽發(fā)、自動續(xù)期，屬于是打不過就加入了。

那是不是隨著 Let 's Encrypt 市場份額的進一步擴大，免費證書就能完全取代付費 SSL 證書呢？

也不見得。

因為 SSL 簽發(fā)行業(yè)的攤子正在越變越大 ——

一方面，瀏覽器行業(yè)默認推廣 HTTPS 協(xié)議，導致幾乎所有的網(wǎng)站所有者，都必須部署 SSL 證書。

另一方面，越來越多的 IoT 聯(lián)網(wǎng)設備，催生了龐大的公網(wǎng)加密通信需求和 SSL 證書需求，這也成了 CA 機構(gòu)一個新的收入增長點。

更重要的一點是，像政府、金融、醫(yī)療行業(yè)，以及一些大企業(yè)的門戶網(wǎng)站，存在一些合規(guī)審查，會強制要求這類網(wǎng)站安裝 OV 或者 EV 這樣的付費 SSL 證書。

所以，現(xiàn)在的實際情況，其實是這樣：SSL 簽發(fā)機構(gòu)依舊能賺錢，只不過因為 Let 's Encrypt 這樣的公益組織存在，曾經(jīng)的暴利一去不復返。大家都開始老實本分賺錢，是好事兒。

撰文：Levi

編輯：米羅 & 面線

美編：煥妍

圖片、資料來源：

csdn——一個瀏覽器插件，繞過限制，登錄微信網(wǎng)頁版！

webhostmost——SSL Certificates in 2025: The Most Profitable Internet Scam Ever

aliyun.com

biaodianfu.com

cnblogs.com

零信技術公眾號

部分圖片源自網(wǎng)絡