SSL EV 证书之死
涛叔今天看到了一则新闻,说是 Chrome 和 Firefox 将隐藏 SSL EV 证书的机构信息。这是一则对SSL证书行业非常利空的消息。
我们常说的 HTTPS 除了加密功能之外,还有一个很重要的认证功能。通过 https 的 ssl 证书用户可以确认网站的身份。这种认证又分成了三个等级。
第一级叫 DV,全称 Domain validated,也就是域名认证。此证书可以证明网站所有从具有对应域名的所有权,证书信息里面只有域名一项(Common Name 字段),比如下面就是 Let's Encrypt 签发的一张 DV 证书。
第二级叫 OV,全称 Organization validated,也就是组织认证。证书里除了注明了域名之外还添加了公司名(Organization)等信息。我们平时见到的 https 网站多用这种级别的证书。下图就是知乎的证书信息。
OV 证书
第三级叫 EV,全称 Extended validation,也就是扩展认证。CA 会对证书持有人进行更加全面的认证。如果浏览器会在网址左边显示组织机构信息。用户看到这些信息会更加放心。
从认证效力上看,DV 小于 OV 小于 EV。价格显然是 EV 大于 OV 大于 DV 了。随着 Let's Encrypt 的上线,DV 证书几乎可以免费获取,大大加快了 https 的普及速度。
与此同时,浏览器厂商也在不断调整 https 的展示策略。其趋势就是不断推动 https 的普级,不断弱化用户对 https 的感知,最终让 https 完全取代 http 而用户完全无法感知的效果。为了达到这个效果,浏览器会将 http 网站标记为不安全站点,比如我国的政府网站:
反过来,对于使用 https 的安全网站,则不再提示。Chrome 最新开发版(版本号为 77)甚至连 EV 认证信息都不再展示。
可以预见,https 加密通信终将普及,而 ssl 证书所承载的认证功能会不断弱化甚至消失。但认证本身不会过时,只会化为 app store 审核之类的形式而永远存在。