常年网上冲浪的差友们应该都被弹过 “数字安全证书” 弹窗吧,就这玩意儿,前几天我看到了外网的一篇帖子说,高价SSL证书是一场彻头彻尾的互联网骗局, 同时也是一个利润率49000%的暴利行业。。。这么一个看似正义的东西,是怎么变成一桩暴利买卖的呢?这就要从HTTP协议说起了,早期没有太多数据加密需求,所以由HTTP协议传输的数据包都是明文的。微信和QQ放弃网页版,也有一部分是因为HTTP协议的这个特性。直到1994年,Netscape(网景 )发明了SSL安全套接层技术,通过公钥加密、私钥解密,传递“密码本”,让浏览器跟服务器之间能够“加密通话”、屏蔽第三方。而证明某条SSL连接可信的证据,就是这段连接所使用的SSL证书。所以HTTPS = HTTP + SSL/TLS。那么这个SSL证书由谁颁发呢——CA机构,他得同时被操作系统和浏览器两方都信任,是有一定门槛的,而这份门槛,最终导致了几大证书签发机构事实上的垄断,暴利就是这么来的。而且像政府、金融、医疗行业,以及一些大企业的门户网站,存在一些合规审查,会强制要求这类网站安装付费SSL证书。目前也有Let's Encrypt这样免费发证书的公益组织,面对竞争,一些主流的CA机构开始降价,但总的来说SSL签发机构依旧能赚钱。
