SSL证书：暴利行业的真相与免费革命

在我们这个资讯爆炸的时代，是否还记得当年用IE浏览器上网时，跳出的“数字安全证书”警告弹窗？又是否记得微信和QQ的网页版登录，因HTTP协议的安全性限制而逐渐淡出？这两件事，其实都与今天的主题——SSL证书息息相关。

今天，我们要揭开SSL证书背后的秘密。前段时间，一篇外网帖子让我震惊不已，它揭示了高价SSL证书背后的暴利行业，以及它作为互联网骗局的真相。

SSL证书，作为网站安全的“身份证”，确保了用户浏览的网站是真实且安全的。它相当于一个验证机制，告诉用户：你正在访问的网站是可信的。

在现代浏览器中，SSL证书无处不在，比如你打开百度的地址栏旁边的小锁图标，就是“连接安全”的标识。

点击“证书有效”按钮，你就能看到百度正在使用的SSL安全证书。

浏览器在访问网站时，会检查网站的数字安全证书是否由权威机构颁发、域名是否匹配、证书是否过期等。一旦有问题，浏览器就会中断连接并警告“连接不安全”。

当年老网吧的IE浏览器因为无法识别新型加密算法的数字证书，所以会出现警告弹窗。而现在，B站博主@Isword先生复现了这个场景。

那么，这样一个看似正义的工具，是如何变成暴利生意的呢？

这要从HTTP协议说起。HTTP最初设计时只是用于传输数据，没有加密功能，因此数据都是明文的。这意味着有心人可以轻松劫持你的信息，包括登录密码和浏览内容。

直到1994年，Netscape发明了SSL技术，通过公钥加密、私钥解密，实现了浏览器与服务器之间的“加密通话”。

而证明这段SSL连接可信的证据，就是SSL证书。HTTPS = HTTP + SSL/TLS，经过SSL/TLS技术加密的HTTP连接就是安全的。

就像商家和消费者之间的支付宝一样，用户和浏览器之间也需要一个公信力角色来证明SSL证书的可信度，这个角色就是CA机构。

成为CA机构有一定门槛，这导致了几个主要签发机构的垄断和暴利。然而，这些证书的命名五花八门，比手机圈的“Turbo Pro+”还要复杂。

这些证书大致分为三类：域名验证（DV）证书、组织验证（OV）证书和扩展验证（EV）证书。价格自然也是水涨船高。但细看之下，这些证书在加密强度上并无差异。

高价主要体现在配套服务上，如更严格的人工审核等。但实际上，这些审核并不会与真实企业身份绑定。

甚至遇到过未提供营业执照、公司名称也打错的情况下，仍被保证能签发的情况。这让人联想到CA机构过去的滥发证书事件，如赛门铁克在未验证域名所有权的情况下签发了超过3万张SSL证书。

这导致谷歌在2018年删除了所有赛门铁克的根证书，并将其CA业务出售给了DigiCert。此后，Chrome和Firefox浏览器移除了“在地址栏显示EV证书”的特性。

如今，Let's Encrypt等公益项目让SSL证书免费且自动化。从2015年发布以来，它累计颁发的SSL证书已超过5亿张，市场占有率超过60%。

免费证书成为主流后，付费SSL证书行业逐渐规范。一些主流CA机构开始降价甚至提供免费DV证书；传统CA机构也开始学习Let's Encrypt的自动化签发和续期。

尽管Let's Encrypt的市场份额在扩大，但付费SSL证书仍有其市场。特别是政府、金融、医疗等行业存在合规审查要求。因此，SSL签发机构依然能赚钱，只是曾经的暴利不再。