SSL EV 证书之死

2019-08-14

今天看到了一则新闻,说是 Chrome 和 Firefox 将隐藏 SSL EV 证书的机构信息。这是一则对SSL证书行业非常利空的消息。

我们常说的 HTTPS 除了加密功能之外,还有一个很重要的认证功能。通过 https 的 ssl 证书用户可以确认网站的身份。这种认证又分成了三个等级。

第一级叫 DV,全称 Domain validated,也就是域名认证。此证书可以证明网站所有从具有对应域名的所有权,证书信息里面只有域名一项(Common Name 字段),比如下面就是 Let’s Encrypt 签发的一张 DV 证书。

taoshu.in 的 DV 证书
taoshu.in 的 DV 证书

第二级叫 OV,全称 Organization validated,也就是组织认证。证书里除了注明了域名之外还添加了公司名(Organization)等信息。我们平时见到的 https 网站多用这种级别的证书。下图就是知乎的证书信息。

知乎的 OV 证书OV 证书

第三级叫 EV,全称 Extended validation,也就是扩展认证。CA 会对证书持有人进行更加全面的认证。如果浏览器会在网址左边显示组织机构信息。用户看到这些信息会更加放心。

沃通的 EV 证书
沃通的 EV 证书

从认证效力上看,DV 小于 OV 小于 EV。价格显然是 EV 大于 OV 大于 DV 了。随着 Let’s Encrypt 的上线,DV 证书几乎可以免费获取,大大加快了 https 的普及速度。

与此同时,浏览器厂商也在不断调整 https 的展示策略。其趋势就是不断推动 https 的普级,不断弱化用户对 https 的感知,最终让 https 完全取代 http 而用户完全无法感知的效果。为了达到这个效果,浏览器会将 http 网站标记为不安全站点,比如我国的政府网站:

中国政府网并没有使用 https
中国政府网并没有使用 https

反过来,对于使用 https 的安全网站,则不再提示。Chrome 最新开发版(版本号为 77)甚至连 EV 认证信息都不再展示。

chrome 不再展示 EV 认证信息
chrome 不再展示 EV 认证信息

可以预见,https 加密通信终将普及,而 ssl 证书所承载的认证功能会不断弱化甚至消失。但认证本身不会过时,只会化为 app store 审核之类的形式而永远存在。

「taoshu」微信公众号