不知道在看咱们公众号的差友,当年逃课上网,用IE浏览器逛学习网站的时候,有没有被弹过“数字安全证书”弹窗。或者有谁还记得,微信和QQ最开始都支持过网页版登录,但因为HTTP协议安全性的原因,后来陆续都停止维护了。
这两个看似八杆子打不着的事情,其实都跟托尼今天要聊的主角——SSL证书有关系。
事情的起因是这样的,前段时间托尼看到了外网的一篇帖子,直接给我整不淡定了。
里面是这样说的,高价SSL证书是一场彻头彻尾的互联网骗局,同时也是一个利润率49000%的暴利行业。。。
这里要给不怎么了解网络知识的小伙伴解释一下,这里面提到的SSL证书,早就已经成了当代上网冲浪的标配了。
它相当于网站的身份证,作用是告诉用户,你所浏览的网站,就是你那个你想浏览的网站,它没有被人在中间动过手脚,是安全的。
其实我们每天都在跟SSL证书打交道,不信的话——
你现在就可以打开电脑上的浏览器,打开百度。发现地址栏旁边的小锁图标了吗?它其实就表示“连接安全”。
继续点击“证书有效”按钮,你就会看到百度正在使用的SSL安全证书。
当浏览器访问网站时,会先检查网站的数字安全证书,是不是由权威证书颁发机构 (CA)颁发、证书中的域名是否与当前访问的域名一致、证书是否过期或被吊销。。。
但凡其中有一项对不上,浏览器就会断开和目标网站的连接,并警告“您与此网站建立的连接不安全”。
文章开头提到的证书弹窗,其实就是因为当年有些老网吧用的WinXP、Win7系统,他们内置的IE浏览器上岁数了,识别不了那些用了新型加密算法的互联网数字证书,所以浏览器才会提示你,你的上网行为存在风险。
这不是当年的网页弹窗哈,是由B站博主@Isword先生尝试复现的
那这么一个看似正义的东西,是怎么变成一桩暴利买卖的呢?
这就要从HTTP协议说起了,托尼这里尽量长话短说——
HTTP这玩意最开始被发明的时候,功能其实很简单,就是负责在客户端和服务器之间传输数据。
而且它还是个“防君子不防小人”的协议:因为早期没有太多数据加密需求,所以由HTTP协议传输的数据包都是明文的。
这就意味着,有心人可以轻松劫持你发送和接收的所有信息,这里面自然也包括你的登录密码和你浏览的网页内容。
微信和QQ放弃网页版,也有一部分是因为HTTP协议的这个特性。
直到1994年,Netscape——没错,就是计算机历史书里出现的网景浏览器的那家网景(Netscape),他们公司发明了SSL安全套接层技术,通过公钥加密、私钥解密,传递“密码本”,让浏览器跟服务器之间能够“加密通话”、屏蔽第三方。
正是因为有了SSL技术的保障,大家上网冲浪才会更安全。而证明某条SSL连接可信的证据,就是这段连接所使用的SSL证书。
此时,浏览器里面网址的前缀也会从HTTP变成HTTPS。
也就是说,HTTPS=HTTP+SSL/TLS。经过SSL/TLS技术加密的HTTP连接,就是安全的。
就像消费者和商家之间,需要有个支付宝,来充当独立可信的第三方,保证交易安全。实际上,用户和浏览器之间,也有一个有公信力的角色,来证明 “这个SSL证书是某个机构签发的,那么它就是可信的”。
这个被广泛信任的中间角色,就是CA机构。
只有同时被操作系统和浏览器两方都信任的CA机构,才能签发出有效的、不会被弹窗的SSL证书。
换句话说,成为CA机构是有一定门槛的,而这份门槛,最终导致了几大证书签发机构事实上的垄断,暴利就是这么来的——
随手打开一个卖SSL证书的网站,你会发现,签发机构给证书的命名五花八门,比现在手机圈的“TurboPro+、竞速版”还要乱。。。
我帮大家简单理了一下,其实这些证书大致可以分为三类:域名验证(DV)证书、组织验证(OV)证书和扩展验证(EV)证书,咱们就先简单理解成标准版、Pro版和ProMax版吧,那价格嘛,当然也是跟着水涨船高。。。
按照这些SSL证书网站的说法,DV证书只验证某个网站的域名是否属于申请人。
而更高等级的OV和EV证书,需要更严格的人工审核,比如用营业执照和法人证件申请,甚至有些签发机构还会“线下真实”用户,实地考察,验证周期也会更长。
不光这样,签发好的高级证书,还会在用户浏览器的网址栏里面,额外显示公司的名称,降低用户“被钓鱼”的风险;作为对比,入门级别的证书就只能显示一个小锁,不会显示公司名称。
明显是瞅准了大家对于安全这个事儿的加码心理。想要更安全,就得多掏钱,买更高级的证书。
但事实真的是这样吗?
首先,仔细看这些所谓的安全等级不同的证书,用到的加密算法和密钥长度等,是一模一样的。也就是在技术层面上,不同等级的SSL证书,加密强度完全相同。。。
那这样一来,OV/EV证书的高价,就体现在配套服务上了,比如很多CA机构所宣传的“更严格的人工审核”。。。
但托尼身边还真有同事实际买过SSL证书,对此我只能说,OV/EV证书的签发,不会和核查真实企业身份之类的要素绑定,那只是某些机构额外做出的要求。
甚至这位同事还遇到过一种情况,在他没给某个机构营业执照、公司名称也打错的情况下,对方依旧打包票说能签。。。
这种离谱的经历,让我联想到,以前CA机构整过的、同样性质的烂活——
2017年,Google发现,当时行业最大的SSL证书提供商赛门铁克(Symantec),在未严格验证域名所有权的情况下,错误签发了超过3万张SSL证书。
赛门铁克作为一个当时来说,可信度最高的CA,已经是躺着赚钱了,却依旧存在滥发证书的情况。。。这次的事故,最终导致2018年谷歌彻底删除所有赛门铁克的根证书,后者也被迫把旗下的CA业务出售给了DigiCert。
在之后的2019年,Chrome和Firefox浏览器干脆就把“在地址栏显示EV证书”的特性给移除了。
谷歌的说法是,经过调查发现,扩展信息已经无法再按预期保护用户。原因咱们前面也说了,即使是诈骗公司,只要有公司实体,也可以想办法获得一个写着公司信息的地址栏。。。
再加上,现在大家几乎都是直接用APP了,而APP没有网址栏,所以高价SSL证书的特别标识就没啥太大用处。从这个角度来说,无论是便宜的DV证书,还是高价的OV、EV证书,它们的安全性都是一样的。
所以不管怎么看,都是用户一边在掏冤枉钱,一边忍受CA机构们的骚操作。这就有了文章开头,托尼看到的那篇疯狂控诉高价SSL证书的帖子。
但其实在更早之前,就有另一拨人站出来解决这个问题了——
2014年,互联网安全研究小组(ISRG)成立了一个名为Let'sEncrypt的公益项目。他们有个很牛叉的目标,那就是让SSL证书免费且自动化。
当然他们不只是嘴上说说,组织的真实战绩可查——
从2015年发布免费SSL证书以来,十年过去了,这个组织累计颁发的SSL证书数量超过5亿张。而且根据W3Techs统计的数据,如今Let'sEncrypt的市场占有率更是超过60%。
免费证书开始成为市场主流,Let'sEncrypt 们吃掉的自然是付费SSL证书的份额,所以你会发现付费SSL证书行业,正在逐步变得规范——
比如说,面对竞争,一些主流的CA机构开始降价,甚至提供免费的DV证书;也有一些传统的CA机构,也开始向Let'sEncrypt取经,开始了证书的自动签发、自动续期,属于是打不过就加入了。
那是不是随着Let'sEncrypt市场份额的进一步扩大,免费证书就能完全取代付费SSL证书呢?
也不见得。
因为SSL签发行业的摊子正在越变越大——
一方面,浏览器行业默认推广HTTPS协议,导致几乎所有的网站所有者,都必须部署SSL证书。
另一方面,越来越多的IoT联网设备,催生了庞大的公网加密通信需求和SSL证书需求,这也成了CA机构一个新的收入增长点。
更重要的一点是,像政府、金融、医疗行业,以及一些大企业的门户网站,存在一些合规审查,会强制要求这类网站安装OV或者EV这样的付费SSL证书。
所以,现在的实际情况,其实是这样:SSL签发机构依旧能赚钱,只不过因为Let'sEncrypt这样的公益组织存在,曾经的暴利一去不复返。
大家都开始老实本分赚钱,是好事儿。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】