不知道在看咱们公众号的差友,当年逃课上网,用 IE 浏览器逛学习网站的时候,有没有被弹过 数字安全证书 弹窗。
或者有谁还记得,微信和 QQ 最开始都支持过网页版登录,但因为 HTTP 协议安全性的原因,后来陆续都停止维护了。
这两个看似八杆子打不着的事情,其实都跟托尼今天要聊的主角 SSL 证书有关系。
事情的起因是这样的,前段时间托尼看到了外网的一篇帖子,直接给我整不淡定了。
里面是这样说的,高价 SSL 证书是一场彻头彻尾的互联网骗局, 同时也是一个利润率 49000% 的暴利行业。。。
这里要给不怎么了解网络知识的小伙伴解释一下,这里面提到的 SSL 证书,早就已经成了当代上网冲浪的标配了。
它相当于网站的身份证,作用是告诉用户,你所浏览的网站,就是你那个你想浏览的网站,它没有被人在中间动过手脚,是安全的。
其实我们每天都在跟 SSL 证书打交道,不信的话
你现在就可以打开电脑上的浏览器,打开百度。发现地址栏旁边的小锁图标了吗?它其实就表示 连接安全。
继续点击 证书有效 按钮,你就会看到百度正在使用的 SSL 安全证书。
当浏览器访问网站时,会先检查网站的数字安全证书,是不是由权威证书颁发机构(CA)颁发、证书中的域名是否与当前访问的域名一致、证书是否过期或被吊销。。。
但凡其中有一项对不上,浏览器就会断开和目标网站的连接,并警告您与此网站建立的连接不安全。
文章开头提到的证书弹窗,其实就是因为当年有些老网吧用的 WinXP、Win7 系统,他们内置的 IE 浏览器上岁数了,识别不了那些用了新型加密算法的互联网数字证书,所以浏览器才会提示你,你的上网行为存在风险。
这不是当年的网页弹窗哈,是由 B站博主 @ Isword先生 尝试复现的
那这么一个看似正义的东西,是怎么变成一桩暴利买卖的呢?
这就要从 HTTP 协议说起了,托尼这里尽量长话短说
HTTP 这玩意最开始被发明的时候,功能其实很简单,就是负责在客户端和服务器之间传输数据。
而且它还是个 防君子不防小人 的协议:因为早期没有太多数据加密需求,所以由 HTTP 协议传输的数据包都是明文的。
这就意味着,有心人可以轻松劫持你发送和接收的所有信息,这里面自然也包括你的登录密码和你浏览的网页内容。
微信和 QQ 放弃网页版,也有一部分是因为 HTTP 协议的这个特性。
直到 1994 年,Netscape 没错,就是计算机历史书里出现的网景浏览器的那家网景(Netscape),他们公司发明了 SSL 安全套接层技术,通过公钥加密、私钥解密,传递 密码本,让浏览器跟服务器之间能够 加密通话、屏蔽第三方。
正是因为有了 SSL 技术的保障,大家上网冲浪才会更安全。而证明某条 SSL 连接可信的证据,就是这段连接所使用的 SSL 证书。
此时,浏览器里面网址的前缀也会从 HTTP 变成 HTTPS。
也就是说,HTTPS = HTTP + SSL/TLS。经过 SSL/TLS 技术加密的 HTTP 连接,就是安全的。
就像消费者和商家之间,需要有个支付宝,来充当独立可信的第三方,保证交易安全。实际上,用户和浏览器之间,也有一个有公信力的角色,来证明 这个 SSL 证书是某个机构签发的,那么它就是可信的。
这个被广泛信任的中间角色,就是 CA 机构。
只有同时被操作系统和浏览器两方都信任的 CA 机构,才能签发出有效的、不会被弹窗的 SSL 证书。
换句话说,成为 CA 机构是有一定门槛的,而这份门槛,最终导致了几大证书签发机构事实上的垄断,暴利就是这么来的
随手打开一个卖 SSL 证书的网站,你会发现,签发机构给证书的命名五花八门,比现在手机圈的 Turbo Pro+、竞速版 还要乱。。。
我帮大家简单理了一下,其实这些证书大致可以分为三类:域名验证(DV)证书、组织验证(OV)证书和扩展验证(EV)证书,咱们就先简单理解成标准版、Pro 版 和 Pro Max 版吧,那价格嘛,当然也是跟着水涨船高。。。
按照这些 SSL 证书网站的说法,DV 证书只验证某个网站的域名是否属于申请人。
而更高等级的 OV 和 EV 证书,需要更严格的人工审核,比如用营业执照和法人证件申请,甚至有些签发机构还会 线下真实 用户,实地考察,验证周期也会更长。
不光这样,签发好的高级证书,还会在用户浏览器的网址栏里面,额外显示公司的名称,降低用户 被钓鱼 的风险;作为对比,入门级别的证书就只能显示一个小锁,不会显示公司名称。
明显是瞅准了大家对于安全这个事儿的加码心理。想要更安全,就得多掏钱,买更高级的证书。
但事实真的是这样吗?
首先,仔细看这些所谓的安全等级不同的证书,用到的加密算法和密钥长度等,是一模一样的。也就是在技术层面上,不同等级的 SSL 证书,加密强度完全相同。。。
那这样一来,OV/EV 证书的高价,就体现在配套服务上了,比如很多 CA 机构所宣传的 更严格的人工审核 。。。
但托尼身边还真有同事实际买过 SSL 证书,对此我只能说,OV/EV 证书的签发,不会和核查真实企业身份之类的要素绑定,那只是某些机构额外做出的要求。
甚至这位同事还遇到过一种情况,在他没给某个机构营业执照、公司名称也打错的情况下,对方依旧打包票说能签。。。
这种离谱的经历,让我联想到,以前 CA 机构整过的、同样性质的烂活
2017 年,Google 发现,当时行业最大的 SSL 证书提供商赛门铁克(Symantec),在未严格验证域名所有权的情况下,错误签发了超过 3 万张 SSL 证书。
赛门铁克作为一个当时来说,可信度最高的 CA,已经是躺着赚钱了,却依旧存在滥发证书的情况。。。这次的事故,最终导致 2018 年谷歌彻底删除所有赛门铁克的根证书,后者也被迫把旗下的 CA 业务出售给了 DigiCert。
在之后的 2019 年,Chrome 和 Firefox 浏览器干脆就把 在地址栏显示 EV 证书 的特性给移除了。
谷歌的说法是,经过调查发现,扩展信息已经无法再按预期保护用户。原因咱们前面也说了,即使是诈骗公司,只要有公司实体,也可以想办法获得一个写着公司信息的地址栏。。。
再加上,现在大家几乎都是直接用 APP 了,而 APP 没有网址栏,所以高价 SSL 证书的特别标识就没啥太大用处。从这个角度来说,无论是便宜的 DV 证书,还是高价的 OV、EV 证书,它们的安全性都是一样的。
所以不管怎么看,都是用户一边在掏冤枉钱,一边忍受 CA 机构们的骚操作。这就有了文章开头,托尼看到的那篇疯狂控诉高价 SSL 证书的帖子。
但其实在更早之前,就有另一拨人站出来解决这个问题了
2014 年,互联网安全研究小组(ISRG)成立了一个名为 Let's Encrypt 的公益项目。他们有个很牛叉的目标,那就是让 SSL 证书免费且自动化。
当然他们不只是嘴上说说,组织的真实战绩可查
从 2015 年发布免费 SSL 证书以来,十年过去了,这个组织累计颁发的 SSL 证书数量超过 5 亿张。而且根据 W3Techs 统计的数据,如今 Let 's Encrypt 的市场占有率更是超过 60%。
免费证书开始成为市场主流,Let 's Encrypt 们吃掉的自然是付费 SSL 证书的份额,所以你会发现付费 SSL 证书行业,正在逐步变得规范
比如说,面对竞争,一些主流的 CA 机构开始降价,甚至提供免费的 DV 证书;也有一些传统的 CA 机构,也开始向 Let's Encrypt 取经,开始了证书的自动签发、自动续期,属于是打不过就加入了。
那是不是随着 Let 's Encrypt 市场份额的进一步扩大,免费证书就能完全取代付费 SSL 证书呢?
也不见得。
因为 SSL 签发行业的摊子正在越变越大
一方面,浏览器行业默认推广 HTTPS 协议,导致几乎所有的网站所有者,都必须部署 SSL 证书。
另一方面,越来越多的 IoT 联网设备,催生了庞大的公网加密通信需求和 SSL 证书需求,这也成了 CA 机构一个新的收入增长点。
更重要的一点是,像政府、金融、医疗行业,以及一些大企业的门户网站,存在一些合规审查,会强制要求这类网站安装 OV 或者 EV 这样的付费 SSL 证书。
所以,现在的实际情况,其实是这样:SSL 签发机构依旧能赚钱,只不过因为 Let 's Encrypt 这样的公益组织存在,曾经的暴利一去不复返。
大家都开始老实本分赚钱,是好事儿。
