本文分享给大家的是：

　　（来源：网易科技）

　　不知道在看咱们公众号的差友，当年逃课上网，用 IE 浏览器逛学习网站的时候，有没有被弹过 “数字安全证书” 弹窗。

　　或者有谁还记得，微信和 QQ 最开始都支持过网页版登录，但因为 HTTP 协议安全性的原因，后来陆续都停止维护了。

　　这两个看似八杆子打不着的事情，其实都跟托尼今天要聊的主角 —— SSL 证书有关系。　　事情的起因是这样的，前段时间托尼看到了外网的一篇帖子，直接给我整不淡定了。

里面是这样说的，高价 SSL 证书是一场彻头彻尾的互联网骗局， 同时也是一个利润率 49000% 的暴利行业。。。

　　这里要给不怎么了解网络知识的小伙伴解释一下，这里面提到的 SSL 证书，早就已经成了当代上网冲浪的标配了　　它相当于网站的身份证，作用是告诉用户，你所浏览的网站，就是你那个你想浏览的网站，它没有被人在中间动过手脚，是安全的。

　　其实我们每天都在跟 SSL 证书打交道，不信的话 ——　　你现在就可以打开电脑上的浏览器，打开百度。发现地址栏旁边的小锁图标了吗？它其实就表示 “连接安全”。

　　继续点击 “证书有效” 按钮，你就会看到百度正在使用的 SSL 安全证书。

　　当浏览器访问网站时，会先检查网站的数字安全证书，是不是由权威证书颁发机构 （CA）颁发、证书中的域名是否与当前访问的域名一致、证书是否过期或被吊销　　但凡其中有一项对不上，浏览器就会断开和目标网站的连接，并警告“您与此网站建立的连接不安全”。

　　文章开头提到的证书弹窗，其实就是因为当年有些老网吧用的 WinXP、Win7 系统，他们内置的 IE 浏览器上岁数了，识别不了那些用了新型加密算法的互联网数字证书，所以浏览器才会提示你，你的上网行为存在风险。

这不是当年的网页弹窗哈，是由 B站博主 @ Isword先生 尝试复现的

　　那这么一个看似正义的东西，是怎么变成一桩暴利买卖的呢？　　这就要从 HTTP 协议说起了，托尼这里尽量长话短说 ——　　HTTP 这玩意最开始被发明的时候，功能其实很简单，就是负责在客户端和服务器之间传输数据。

　　而且它还是个 “防君子不防小人” 的协议：因为早期没有太多数据加密需求，所以由 HTTP 协议传输的数据包都是明文的　　这就意味着，有心人可以轻松劫持你发送和接收的所有信息，这里面自然也包括你的登录密码和你浏览的网页内容。

　　微信和 QQ 放弃网页版，也有一部分是因为 HTTP 协议的这个特性。

　　直到 1994 年，Netscape —— 没错，就是计算机历史书里出现的网景浏览器的那家网景（Netscape），他们公司发明了 SSL 安全套接层技术，通过公钥加密、私钥解密，传递 “密码本”，让浏览器跟服务器之间能够 “加密通话”、屏蔽第三方。

　　正是因为有了 SSL 技术的保障，大家上网冲浪才会更安全而证明某条 SSL 连接可信的证据，就是这段连接所使用的 SSL 证书　　此时，浏览器里面网址的前缀也会从 HTTP 变成 HTTPS

　　也就是说，HTTPS = HTTP + SSL/TLS经过 SSL/TLS 技术加密的 HTTP 连接，就是安全的　　就像消费者和商家之间，需要有个支付宝，来充当独立可信的第三方，保证交易安全实际上，用户和浏览器之间，也有一个有公信力的角色，来证明 “这个 SSL 证书是某个机构签发的，那么它就是可信的”。

　　这个被广泛信任的中间角色，就是 CA 机构。　　只有同时被操作系统和浏览器两方都信任的 CA 机构，才能签发出有效的、不会被弹窗的 SSL 证书。

　　换句话说，成为 CA 机构是有一定门槛的，而这份门槛，最终导致了几大证书签发机构事实上的垄断，暴利就是这么来的 ——　　随手打开一个卖 SSL 证书的网站，你会发现，签发机构给证书的命名五花八门，比现在手机圈的 “Turbo Pro+、竞速版” 还要乱。

　　我帮大家简单理了一下，其实这些证书大致可以分为三类：域名验证（DV）证书、组织验证（OV）证书和扩展验证（EV）证书，咱们就先简单理解成标准版、Pro 版 和 Pro Max 版吧，那价格嘛，当然也是跟着水涨船高。

　　按照这些 SSL 证书网站的说法，DV 证书只验证某个网站的域名是否属于申请人　　而更高等级的 OV 和 EV 证书，需要更严格的人工审核，比如用营业执照和法人证件申请，甚至有些签发机构还会 “线下真实” 用户，实地考察，验证周期也会更长。

　　不光这样，签发好的高级证书，还会在用户浏览器的网址栏里面，额外显示公司的名称，降低用户 “被钓鱼” 的风险；作为对比，入门级别的证书就只能显示一个小锁，不会显示公司名称。

明显是瞅准了大家对于安全这个事儿的加码心理想要更安全，就得多掏钱，买更高级的证书　　但事实真的是这样吗？　　首先，仔细看这些所谓的安全等级不同的证书，用到的加密算法和密钥长度等，是一模一样的也就是在技术层面上，不同等级的 SSL 证书，加密强度完全相同。

　　那这样一来，OV/EV 证书的高价，就体现在配套服务上了，比如很多 CA 机构所宣传的 “更严格的人工审核” 　　但托尼身边还真有同事实际买过 SSL 证书，对此我只能说，OV/EV 证书的签发，不会和核查真实企业身份之类的要素绑定，那只是某些机构额外做出的要求。

　　甚至这位同事还遇到过一种情况，在他没给某个机构营业执照、公司名称也打错的情况下，对方依旧打包票说能签　　这种离谱的经历，让我联想到，以前 CA 机构整过的、同样性质的烂活 ——　　2017 年，Google 发现，当时行业最大的 SSL 证书提供商赛门铁克（Symantec），在未严格验证域名所有权的情况下，错误签发了超过 3 万张 SSL 证书。

　　赛门铁克作为一个当时来说，可信度最高的 CA，已经是躺着赚钱了，却依旧存在滥发证书的情况这次的事故，最终导致 2018 年谷歌彻底删除所有赛门铁克的根证书，后者也被迫把旗下的 CA 业务出售给了 DigiCert。

　　在之后的 2019 年，Chrome 和 Firefox 浏览器干脆就把 “在地址栏显示 EV 证书” 的特性给移除了。

　　谷歌的说法是，经过调查发现，扩展信息已经无法再按预期保护用户原因咱们前面也说了，即使是诈骗公司，只要有公司实体，也可以想办法获得一个写着公司信息的地址栏　　再加上，现在大家几乎都是直接用 APP 了，而 APP 没有网址栏，所以高价 SSL 证书的特别标识就没啥太大用处。

从这个角度来说，无论是便宜的 DV 证书，还是高价的 OV、EV 证书，它们的安全性都是一样的　　所以不管怎么看，都是用户一边在掏冤枉钱，一边忍受 CA 机构们的骚操作这就有了文章开头，托尼看到的那篇疯狂控诉高价 SSL 证书的帖子。

　　但其实在更早之前，就有另一拨人站出来解决这个问题了 ——　　2014 年，互联网安全研究小组（ISRG）成立了一个名为 Lets Encrypt 的公益项目他们有个很牛叉的目标，那就是让 SSL 证书免费且自动化。

　　当然他们不只是嘴上说说，组织的真实战绩可查 ——　　从 2015 年发布免费 SSL 证书以来，十年过去了，这个组织累计颁发的 SSL 证书数量超过 5 亿张而且根据 W3Techs 统计的数据，如今 Let s Encrypt 的市场占有率更是超过 60%。

　　免费证书开始成为市场主流，Let s Encrypt 们吃掉的自然是付费 SSL 证书的份额，所以你会发现付费 SSL 证书行业，正在逐步变得规范 ——　　比如说，面对竞争，一些主流的 CA 机构开始降价，甚至提供免费的 DV 证书；也有一些传统的 CA 机构，也开始向 Lets Encrypt 取经，开始了证书的自动签发、自动续期，属于是打不过就加入了。

　　那是不是随着 Let s Encrypt 市场份额的进一步扩大，免费证书就能完全取代付费 SSL 证书呢？　　也不见得　　因为 SSL 签发行业的摊子正在越变越大 ——　　一方面，浏览器行业默认推广 HTTPS 协议，导致几乎所有的网站所有者，都必须部署 SSL 证书。

　　另一方面，越来越多的 IoT 联网设备，催生了庞大的公网加密通信需求和 SSL 证书需求，这也成了 CA 机构一个新的收入增长点　　更重要的一点是，像政府、金融、医疗行业，以及一些大企业的门户网站，存在一些合规审查，会强制要求这类网站安装 OV 或者 EV 这样的付费 SSL 证书。

　　所以，现在的实际情况，其实是这样：SSL 签发机构依旧能赚钱，只不过因为 Let s Encrypt 这样的公益组织存在，曾经的暴利一去不复返大家都开始老实本分赚钱，是好事儿撰文：Levi编辑：米罗 & 面线