互聯網世界中,數字安全證書是保障網絡通信安全的重要工具,它如同網站的“身份證”,確保用戶訪問的網站真實可信,未被篡改。然而,近期一則關于高價SSL證書的討論引發關注,有人指出,這一市場存在暴利現象,甚至被稱為“互聯網騙局”。
SSL證書的作用在于加密瀏覽器與服務器之間的數據傳輸,防止信息被竊取或篡改。早期,HTTP協議因缺乏加密機制,導致用戶登錄密碼、瀏覽內容等敏感信息容易被截獲。為解決這一問題,1994年,網景公司推出了SSL技術,通過公鑰加密和私鑰解密的方式,實現了瀏覽器與服務器之間的安全通信。隨著技術發展,SSL逐漸演變為TLS,成為現代互聯網安全的基礎設施。
盡管SSL證書的普及提升了網絡安全水平,但其市場卻因價格差異引發爭議。目前,SSL證書主要分為三類:域名驗證(DV)證書、組織驗證(OV)證書和擴展驗證(EV)證書。DV證書僅驗證域名歸屬,價格較低;OV和EV證書則需更嚴格的人工審核,包括營業執照、法人證件等,甚至實地考察,驗證周期更長,價格也更高。部分機構還宣稱,高級證書能在瀏覽器地址欄顯示公司名稱,降低用戶被釣魚的風險。
然而,實際調查發現,不同等級的SSL證書在加密算法和密鑰長度上并無差異,技術層面的安全性完全相同。高價證書的溢價主要體現在配套服務上,如所謂“更嚴格的人工審核”。但有用戶反映,即使提供錯誤信息,部分機構仍承諾簽發證書,引發對審核流程真實性的質疑。此前,行業巨頭賽門鐵克曾因未嚴格驗證域名所有權,錯誤簽發超過3萬張證書,最終導致其根證書被谷歌刪除,業務被迫出售。
瀏覽器廠商也對高價證書的效用提出質疑。2019年,Chrome和Firefox移除了地址欄顯示EV證書的特性,原因是擴展信息已無法有效保護用戶。詐騙公司只要擁有實體,仍可獲取顯示公司信息的證書。隨著移動應用普及,網址欄逐漸消失,高價證書的特別標識作用進一步削弱。從用戶角度看,無論是DV證書還是OV、EV證書,安全性并無本質區別,高價更多是“心理安慰”。
面對爭議,免費SSL證書逐漸成為主流。2014年,互聯網安全研究小組(ISRG)發起Let's Encrypt項目,旨在提供免費且自動化的證書簽發服務。截至目前,該項目已累計頒發超過5億張證書,市場占有率超過60%。免費證書的普及迫使傳統CA機構調整策略,部分機構開始降價或提供免費DV證書,并引入自動簽發和續期功能,以適應市場競爭。
