標籤:

為什麼SSL證書那麼貴?

01-19

以Godaddy為例,一個單域名證書69.99美元,一個通配證書89.99美元.

為什麼那麼貴,做一個證書需要很高的成本嗎?

剛剛昨天心血來潮答了個密碼學相關的問題,今天就有人邀請我回答網路安全和應用密碼學的問題了嘛… 謝邀~

其實樓上很多朋友都已經回答了,SSL證書本身的生成和製作並不困難,困難在於SSL證書的頒布者以及背後涉及到的擔保。我想分別針對這兩個方面,再詳細的回答一下這個問題。

哦對了,先需要說說SSL證書的目的,它有如下5個主要的服務:

  • 認證服務:確認當前訪問的網頁是其聲明的網頁。
  • 數據完整性服務:確認互相傳輸的數據沒有被修改過。
  • 數據保密性服務:即數據的加密,沒有密鑰的第三方無法獲知數據的具體內容。
  • 不可否認服務:從技術上保證網站和用戶對其行為的認可。舉個例子:在淘寶或者其他地方消費了,SSL證書會從技術上證明用戶確實進行了消費,服務商確實收到了資金,以及服務商確實付出了與資金相匹配的服務。
  • 公正服務:通過技術手段證明數據的有效性和正確性。

1. 一個典型的數字證書以及其包含的內容

先說明這一點有助於我後面對於這個問題的回答。用個什麼例子好呢?我一直比較喜歡聽Coursera上面的公開課,這個網站的證書就是一個SSL證書,不妨用它來舉例子吧。Coursera的網址為:Coursera.org。

用Firefox打開這個網頁,在網頁地址欄左邊有一個鎖一樣的圖標,點擊打開就能夠看見SSL證書的詳細信息了,截圖如下。

這是一個標準的SSL證書,其包括兩大部分:證書的結構以及證書的具體欄位。其中,證書結構部分就是我們下面要涉及到的證書管理問題。證書的欄位部分就是我們下面要涉及到的證書技術問題

我們先來看看這個證書,可以看出,這個證書是由Go Daddy Class 2 CA頒發的。其層級為Go Daddy Root Certificate Authenority -&> Go Daddy Secure Certificate Authority -&> *.http://coursera.org。

我們也可以分布查看這個證書每一個層級的證書欄位,我們僅以*.http://coursera.org為例。其版本是v3,證書涉及到的演算法分別為:SHA-256,RSA加密以及簽名,有效期是2014.4.10-2017.1.5。

下面的兩幅圖,一個是12306火車購票系統的SSL證書詳細信息,一個是騰訊郵箱的SSL證書詳細信息。我又列舉這兩個的主要原因是證明,不同的SSL證書,其證書結構部分和證書欄位部分都可能會有所不同,甚至使用的密碼學演算法都不太相同。

看清楚這些區別,我們來分別根據技術部分和管理部分這兩大類來回答為何SSL證書會這麼貴。

2. 技術部分:雜湊演算法,加密演算法以及簽名演算法

前面提到了,一個數字證書需要完成這五個服務。實際上,各種不同的服務對應了不同的密碼學技術,而這些密碼學技術使得SSL證書在剛開始出現,一直到這些密碼學技術專利到期之前,價格都非常的貴。

  • 認證服務。這個服務對應的密碼學技術是數字簽名(Digital Signature)。簽名演算法,簡單地說就是讓數據的發送者對於發送的文件進行一個「簽名」工作。數據的接收者可以通過某種方法驗證,這個簽名確實是發送者簽的,而不可能是別人偽造的。簽名演算法到現在為止廣為使用的仍然是RSA簽名演算法。RSA簽名演算法雖然是公開的演算法,但其使用實際上是有專利版權的,這個版權的歸屬者就是RSA這三個人:Rivest,Shamir,Adleman。當然了,後面這三個人開了個RSA公司,專門做安全類的業務,這個需要提一下。RSA演算法大約是在1977年提出。1983年麻省理工學院在美國RSA演算法申請了專利。這個專利2000年9月21日失效。因此,RSA簽名演算法(當然還有RSA加密演算法)的專利使用權,導致了前期數字證書高昂的價格。
  • 數據完整性服務。這個服務對應的密碼學技術是安全雜湊演算法(Secure Hash Function)。雜湊演算法的概念是,給定任意的輸入,其輸出一個固定長度的子串,滿足:(1)很難根據這個輸出的子串,再找到一個輸入,也使得輸出等於這個子串。(2)如果已知輸入,那麼計運算元串非常快。這個演算法怎麼用呢?很簡單,發送方發送消息後,計算出雜湊值,然後把雜湊值一併發送給接收者。接收者先驗證輸入的雜湊結果是不是等於雜湊值,只要不等於就認為數據被篡改了。雜湊演算法比較知名的是MD5,SHA1,SHA256,SHA384,SHA512等等。這些演算法是否有專利我沒有找到。
  • 數據保密性服務。這個服務對應的密碼學技術是單鑰加密演算法(Symmetric Encryption)。單鑰加密演算法知名的是DES,IDEA,AES等等。這些演算法有的有專利,有的沒有。
  • 不可否認服務和公證服務也是上述三種密碼學技術的綜合。

所以我們可以看出,密碼學技術在剛提出來的時候是造成成本的一個主要的原因。畢竟演算法並不能無償使用嘛。現在,這些傳統的密碼學技術的專利都已經到期了,自然而然出現了現在所看到的:自己用OpenSSL,加上一些很直觀的技術,就能構造和使用證書的一個現象。那麼,現在證書的成本主要來自哪裡呢?這就來自第二個方面了:證書的頒發和管理問題。

3. 證書的生成和管理:CA以及風險

既然每個人都可以通過演算法生成證書,那麼我們怎麼能知道一個證書是否由一個合法的證書生成者生成的呢?舉個例子,我自己生成了一個證書,這個證書可以通過驗證。但是,我自己生成的證書是無法得到網路上的認可的:這個證書的生成參數是否正確,生成者是否有資質生成證書。而這些,就成為了證書價格高昂的一個核心原因。

證書的管理者是由各個CA(Certificate Authority)來完成的。整個證書的系統異常龐雜,並不是在這裡一句話兩句話能夠說清楚的。不過我們可以通過一個並行的系統來解釋,即國籍。每個人都有自己的國籍,每個人也都可以在自己的國家申請護照,通過簽證前往其他的國家。而這個護照就類似於證書:證明你是哪個國家的人,你確實具有這個國家人的屬性,你有責任代表這個國家。護照的頒發者就類似於CA。國家外交部是國家互相之間認可的唯一官方組織,只有這些組織頒布的護照才是合法有效的,並且能夠被完全接受。

國籍這個牽扯到的經濟利益不多,但是網路上面就不好說了… 所以說,每一個證書的頒發機構都有潛在的經濟風險。也就是說,頒發機構頒發的證書,如果被偽造了,涉及到經濟損失是需要賠償的。這才是證書價格較高的核心問題。

給個正面回答吧。

參考:

Ask YC: Why are SSL certificates so expensive?

根據這位在CA工作的哥們的答案:

簽署一個證書的成本是0 。

CA公司的主要成本構成:審核 ,驗證CSR成本,支持成本,法律成本(保險費用,擔保費用)。

  • 要進入各個瀏覽器的根證書列表,CA公司每年必須過 WebTrust 年度審計,是很大的開銷。
  • 一些瀏覽器廠商還會對植入根證書列表的CA收費。
  • 基礎設施開銷,CRL 和 OCSP 伺服器成本。
  • 驗證CSR:就是提交證書申請後,CA要做多項驗證,越是高級的證書(比如EV)驗證越麻煩。不固定開銷,有些要花費很多人力和時間來完成。
  • 法律開銷:CA公司得買保險,保險費跑不了。
  • CA鏈費用:新開的CA公司要等5-10年,才會被普遍信任,才能廣泛進入根證書鏈。要想加快點,就得給別的大牌CA公司掏錢,買次級證書。

這個一點都不貴。

技術上沒難度,我自己按照標準寫一個生成演算法,也不會太難。

但CA頒發證書主要目的是提供實體與證書的證明,本身就需要公信度,而且還得人工審核材料,老美的人工多貴,看成人民幣的話,八十多塊真不算啥。

另外,國外有時學校來成績單,證明啥的,一張紙,十幾塊外幣就沒了,更何況是證書。

管理一個Public Trusted的CA可不便宜,每年的審計、加密機還是小錢,機房的安全程度要求之高真的不是一般公司能做的。。。而且貴的證書主要在於給你的證書買了保險,那種免費的DV證書個人站點用用就好了,企業就不要省這個錢了。

挖一下墳,SSL免費時代即將到來。Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大學研究人員聯合宣布了 Let』s Encrypt CA 項目,計劃為網站提供免費的基本 SSL 證書,以加速互聯網從 HTTP 向 HTTPS 過渡。Let』s Encrypt CA 將由非贏利組織 Internet Security Research Group (ISRG) 運營,計劃於 2015 年夏天開始向任何需要加密證書的網站自動發放免費的 SSL 證書。

這是他們的官方網站:Let"s Encrypt

網站上最近一條消息顯示:

  • First certificate: Week of September 7, 2015
  • General availability: Week of November 16, 2015

快了吧。。。

真正做一個證書幾秒鐘都不到就可以做出來。

樓上說得很好,還有一部分成本在於人工審核申請者身份,和保證安全性方面。

答完題後,看各種刷證書CA廠商的,我也補充一個。

我一般會在 http://NameCheap.com 上申請證書,國際頂級CA廠商 GeoTrust Global Inc. 的 RapidSSL,

摺合六十元人民幣一年,實測 Mac , Android, iOS , Windows 都認,不過不是 Extended Validation, 沒有綠標而已。

還有一個 COMODO 但是覺得比較坑,證書鏈比較扯。

你們這些幾百上千的都打住吧。

看我這個免費的證書秒殺同等級的所有收費的DV證書吧 哈哈哈哈~

SSL 證書也有不少免費證書啊,Startssl、let"s Encrypt的都有免費證書。如果是個人博客或者網站的話,免費DV證書就可以了。我自己的博客用了又拍雲提供的免費ssl證書,也是let"s encrypt的,主要是配置好證書自動更新,不用每三個月更新一次,看中這點。

說實話,
一個單域名證書69.99美元還是便宜的,去看看知名品牌的VeriSign和GlobalSign的證書,你會發現
Godaddy的基本不花錢,就連國內價格相對便宜的SSL數字證書申請網http://www.shuzizhengshu.com 上去申請GlobalSign一個單域名的SSL證書就要接近2000人民幣。

我覺得這個東西最主要的還是要保證安全,這些知名品牌都有高達150萬美金的保證金,如果是正式商業運作的網站,還是不要省這個錢。

問題在於怎麼能讓根證書被系統,瀏覽器還有其他使用ssl的程序收錄,公信力,為什麼國內的不敢用,就是沒有公信力,還有就是保證私匙安全,不泄露

壟斷,壟斷,壟斷。運營成本真的很小。壟斷,才是最主要的。

其實做個SSL證書業務,成本和投入還是非常大。

一個商業話的SSL證書公司除了一個企業正常的運行費用,還有CA證書要求的審計費用外,還要支付大量的其他費用和投資集成設施:

- 證書公司需要提供給瀏覽器開發商一筆費用,這樣瀏覽器才願意支持對應的證書

- SSL證書的硬體投入也非常高,每天要響應數億次的驗證請求,而且都要求在50ms~70ms內回應,這個需要準備大量的伺服器。

- 每個證書都有對應的保險金額,都需要繳納一定的金額給保險公司

- CA要求的認證流程中,OV和EV都需要人工驗證,頒發成本高。

所以好的證書收費100美元以上也是正常。部分便宜的也就5-6美元,相對也是可以接受。在證書的購買上,可以到Bisend, 和亞洲誠信等公司購買,相對專業,價格也合理。

ssl證書如果想正常工作,客戶機必須預裝相關的根證書,這樣才能有效驗證服務端的ssl證書。根證書是跟隨操作系統一起安裝的。

以目前國內使用最多的windows系統為例,操作系統沒有內置國內CA機構的根證書,都是國外證書機構的根證書。貌似現在CFCA的根證書已經加進來了,不過我們有親自去證實。

沒有預裝根證書的後果是,導致服務端的ssl證書無法通過驗證,必須手動安裝相應的根證書才行。這樣的體驗對普通用戶來說太差了。雖然國內有很多家CA機構,但是涉及到大眾業務的時候,商家還是會選擇國外機構的ssl證書,這也是導致ssl證書價格高的要給原因。

成本應該不算高,但是他要給你擔保,如果你的網站除了什麼問題,他就會全權負責。他們要花費人工每天給你審核網站漏洞評估服務和每日網站惡意軟體掃描。還可能因為技術吧, 國內的沃通都被谷歌等瀏覽器取消根證書了,所以說明國內還沒達到那種技術。其實也可以選擇免費的,如果你放心的話。

ssl證書_https證書_ssl數字證書_代碼簽名證書_ssl證書購買-易維信(EVTrust)數字證書www.evtrust.com圖標

有些答案是壟斷,有些答案是技術,有些答案是渠道,查看一下我在這個答案上的回答:

為什麼SSL證書的價格相差那麼大呢?即使加密強度一樣,同樣只是顯示綠色鎖的標誌,並沒有帶機構名的綠條www.zhihu.com圖標

機器人還是補充幾點

1、從技術角度來講,這項技術已經不再是高深莫測的技術,而且無論是密碼學還是非對稱加密等等諸如此類的話題,已經講爛掉了,門檻並不高,重要的還是可信度和CA機構的規模。

2、從商業角度來講,可以說是壟斷,你就好比什麼行業協會一樣,你信他的,他就有定價權,CA機構從某種意義上也不算壟斷,畢竟還是有那麼多公司和品牌在競爭,換個比方:你買人保的保險而不願意買別的保險,就相當於你相信人保一樣,保費從某種程度比對手要高。

3、從產品成本來講,CA機構服務的不僅有客戶、高級代理 、終端代理等等,到審核這一層,這本身審核資質就是一種成本(人力成本),比如審核所在國的企業信息,而域名審核成本非常低,全球範圍來看頂尖CA機構大多是歐美價值觀的公司,這些什麼最貴,人最貴。。。再說產品的技術成本,軟硬體伺服器如PKI系統什麼之類的也是成本。

4、便宜和貴來講,DV域名型還是很便宜的,關鍵題主直接到Godaddy買確實不便宜,題主要這樣想,69.99美元的消費水平是在美國應該是很正常的消費水平,你不能把它轉換成人民幣來衡量貴和便宜,那麼還有品牌和渠道的問題,像機器人代理CA產品就很便宜,Comodo的PositiveSSL單域名DV型證書合人民幣是39元,合美元是6美元左右(Comodo PositiveSSL)。那你要選更高端的DigiCert - Symantec(現在起是DigiCert旗下了:DigiCert完成對Symantec的資產處理)那這價格又不一樣了,是的,這是個讓人討厭又喜歡的機構號廣告,但確確實實是滿足了題主的疑問和便宜需求。

5、需求需求需求,按需求辦,量力而行

很多網站、博客博主沒有給網站和博客加上SSL證書的原因分析:

我們來分析一下:

證書貴,這是幾年前的事情啦。

目前比較流行的是Let"s encrypt推出的免費SSL證書,已經被各大主流瀏覽器信任為綠色安全證書。

Let"s encrypt 免費SSL證書

用戶可以自己到let"s encrypt官網通過註冊、驗證、配置等複雜的流程後獲得SSL證書,90天到期時手動再申請延長期限的方式延長有效期。

自己手動申請比較麻煩,也可以選擇用Easy HTTPs這樣的小工具來快速生成Let"s encrypt免費SSL證書,一鍵式生成,一鍵式安裝部署,到期前自動下載更新證書。

Easy HTTPs,快速申請免費SSL證書

阿里雲現在有免費的Symantec DV證書 雲盾證書服務-購買-阿里雲

英文不好,錢不多,選擇易維信,購買Comodo PositiveSSL ,體驗還可以,服務也還可以,安裝好,還做了一下體檢;CA知名度和安全性是高,價格高,也可以理解,選擇合適的購買就好。

做證書成本不高,頂多是時間成本,時間用在學習ssl相關、密碼學一小部分用到的知識、再編個相應的演算法,實現和演算法原理都有公開的發布。

我本人數學系密碼很熟悉算佔便宜,從ssl相關標準和協議的零基礎,一路搜集各路網路公開資料,現在使用openssl和gmssl。從無到有時間一個月前後吧。

問題是,我的證書,我的傳輸過程,沒人認可啊!沒有信譽度啊!!我的加密和證書認證不被信任啊!!!

所以,老老實實買吧,除非是小局域里自家玩。

為什麼SSL證書那麼貴?

答:因為這些除了保存信息,它有提供保險。如US Domain Center的有很大$100,00 - 1,000,000保險(如下圖)。

資料來源: SSL Certificates

如果你需要建立一個SSL網站,你也可以看看如何建設HTTPS網站和給網站添加SSL證書 (視頻教程)

建立網站的一般都希望自己的網站有HTTPS加密(SSL+HTTP協議構建的可進行加密傳輸),因為SSL可以使瀏覽者以加密的方式瀏覽網站,保證瀏覽者的隱私安全。SSL加密還可以提升網站的SEO(搜索排名)。如果是購物網站,這也是必須的,客戶知道他們的信息是被保護的。以下的文字和視頻不一步步教你如何給搭建網站的基本框架和給網站添加SSL加密。還有,你的網站上線,無需備案。

無論你是建立一個個人網站,個人博客,企業網站,外貿網站,購物網站,電商網站,或其它網站,你都可以跟著下面的文字和視頻教程操作。

怎樣建立一個網站 (視頻教程 + SSL加密證書教程)

域名(網址) + 空間(主機空間) + WordPress免費建站平台(CMS) = 你的網站 (從零開始教你如何用WordPress建立一個網站視頻教程)

建立一個網站包括3個步驟

(個人網站,個人博客,外貿網站,購物網站,電子商務網站,會員網站,其它網站)

這些網站搭建方法基本一樣,只是你用的主題(模板)和安裝的插件不一樣而已。

要建立一個自己的網站,你不需要學習編程知識(如CSS,HTML),也不需要是電腦專業人員。只要你跟著這個指南和視頻教程操作,你就可以從零開始,建立你的專業網站。

第1步: 購買一個域名(Register a Domain Name)

購買一個域名是建立網站的第一步。域名也就是你的網站在互聯網上的名字,它可以成為你網站的形象,所以最好花些時間來挑選你的域名。

第2步: 購買一個空間/主機空間(Select a Web Host)

主機空間是用來存儲你的網站或博客,並把它發布到互聯網去。你也可以用空間來儲存文件(圖片,視頻,和音頻)和安裝不同的功能,如:購物車功能,會員功能,社交網分享功能等等。

第3步: 安裝WordPress網站搭建平台 (免費)

WordPress是目前最受歡迎的免費的網站建立平台,它有過千種插件可以讓你安裝。例如,你想在網頁上添加一個Facebook的分享按鍵,你只需要安裝一個免費插件就可以了。這完全不用任何的網頁編輯技術。你想要的功能基本都可以通過插件來完成。

用WordPress來建立網站,你需要做的是登錄賬戶(WordPress後台),選擇一個喜歡的主題(Theme),以及添加內容(Write Your Content)就可以了。當你發布你的內容後,瀏覽者在任何地方都可以看到你文章,圖片,和視頻等等。這是非常簡單和快速的。

建立獨立購物網

這些年來,WordPress已經變得非常的強大。你更可以用WordPress來建立獨立購物網站,電子商務網站,或外貿網站。你只需要安裝一個電子商務購物車插件(WooCommerce)就可以。

WooCommerce鏈接:WooCommerce

WooCommerce 現在支撐著全網30%在線網店 - 比任何其它平台都多。WooCommerce 也支持信用卡,支付寶,PayPal,銀行轉賬以及貨到付款。

WordPress和WooCommerce都是全球性的。無論你在中國,美國,加拿大,或任何國家,你都可以用WordPress和WooCommerce來建立你的網站或網上商城。

如果想建立一個自己的網站,你可以去US Domain Center(美國域名中心)這家全球性公司。它們有提供域名註冊和高速主機空間,無需備案,並且接受支付寶,信用卡,和任何國家貨幣。鏈接:Search, Register and Transfer Web Domain Names and More

目前,美國主機也算是全球最發達的。US Domain Center有提供了免費一鍵安裝WordPress功能,方便安裝。你可以直接點擊WordPress網站搭建平台(也可以按照WooCommerce電子商務系統),它就自動安裝在你的主機空間上。US Domain Center有提供24/7的電話問題解答和電話技術支援。如果你對你的網站有什麼問題,你可以隨時打電話給該公司。

免費視頻教程

新手如何自己建立一個網站只需25分鐘 (添加SSL加密)。如果你不需要SSL加密,你是不需要購買SSL加密證書。但是如果是購物網站,你就應該購買SSL加密來保護客戶信息。

土豆觀看: 新手如何快速自己建立網站 (安裝WordPress和添加SSL加密)

優酷觀看: 高清版: 新手如何快速自己建立網站 (安裝WordPress和添加SSL加密)

YouTube 觀看:https://www.youtube.com/watch?v=DIx4pjyeO2c

最後,WordPress必裝的插件是Akismet, WordPress 官方推薦的垃圾評論插件。

Akismet

推薦閱讀:

使用了不受支持的SSL協議是怎麼回事?
如何看待 CNNIC 官方網站的證書改換成了 DigiCert 簽發的證書?
Chrome下HTTPS證書的「沒有公開的審核記錄」是什麼意思?
WordPress SSL css,js樣式不載入 http如何修改成https?

TAG:網路安全 | SSL | HTTPS | SSL證書 |