首页 > CEO博客

SSL证书的江湖 (一) 2022年1月25日发表,2025年7月15日更新

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

今天是1月25日,笔者进入SSL证书的江湖已整整17年,2005年1月25日是笔者同GeoTrust签订合作代理协议的日期,虽然前期要花点时间同GeoTrust谈合作条款,但是这一天正式签订代理协议,标志着中国的SSL证书的江湖就开始了,因为此前中国市场只有VeriSign一个品牌,就不能称之为“江湖”。从这一天开始,GeoTrust SSL证书品牌正式进入中国市场,笔者也正式开始在这个江湖打拼,本文就同读者朋友讲讲这个江湖的险恶。作为SSL证书用户,最重要的是如何在险恶的江湖中不会由于坐错船而一同掉进大海,本文有建议策略供参考。

一、 笔者与GeoTrust的结缘

笔者是在 2004 年底的美国夏威夷一个国际电信会议上认识了一位贵人-GeoTrust CTO Kefeng Chen,一个美籍华人,CA技术大牛,才有机会代理销售GeoTrust数字证书产品,当时打动我的是GeoTrust SSL证书的快速签发能力,同时笔者认为中国市场需要第二家有竞争力的SSL证书提供商,因为当时中国市场只有VeriSign一个品牌。

回国后就开始了商务谈判,并于2025年1月25日签署了代理协议,标志着笔者正式开始从事CA业务和密码事业,也同时标志着SSL证书的江湖正式开始了,笔者有幸在这个险恶的江湖一直走到了现在,虽然艰辛但仍然还在坚强地一路奔走,并且走得越来越稳。

SSL证书的江湖

二、 GeoTrust发明了DV SSL证书,自动化证书管理奠基者

GeoTrust是由 Neal Creighton、Kefeng Chen、Chris Bailey2001年联合创立的,Neal Creighton 是总裁兼CEO,筹集了2400万美元的风险融资收购了Equifax Security公司,Equifax是最早一批同VeriSign和Thawte同期签发SSL证书的CA机构,也是最早预置根证书到Windows操作系统的一批根证书之一。

SSL证书的江湖 SSL证书的江湖

GeoTrust是DV SSL证书的发明者和开创者,原先市场上只有一种SSL证书,就是验证单位身份的OV SSL证书,也只有一家CA签发,那就是VeriSign,中国也只有一家代理商。GeoTrust发明了只验证域名所有权就可以几分钟内快速签发SSL证书的操作流程,这是SSL证书技术的一次重大创新,彻底打破了原先申请一张SSL证书需要一周甚至更长时间的常规,这使得GeoTrust很快就成为了全球第二大CA,2006年占领SSL证书全球市场的26.7%市场份额。如下左图所示为GeoTrust DV SSL证书-QuickSSL, 如下右图所示为GeoTrust OV SSL证书-True Business ID。

SSL证书的江湖 SSL证书的江湖

证书快速签发是笔者当年决定代理GeoTrust产品主要原因,现在,全球信任的有效的SSL证书中DV SSL证书占比90%,这是因为DV SSL证书可以实现自动化签发,也就可以做到完全免费。可以说,GeoTrust是SSL证书自动化管理的奠基者,没有DV SSL证书就不可能实现自动化管理,也就不可能快速普及应用SSL证书实现HTTPS加密来保障全球互联网安全。

三、GeoTrust开创了定制中级根证书业务模式

GeoTrust不仅发明了DV SSL证书,还开创了定制中级根证书业务模式,这也是一个业务创新,使得没有自己顶级根证书的其他公司也可以有自己品牌的SSL证书,这非常有利于拓展SSL证书市场。如下左图所示为GeoTrust为沃通CA定制的中级根证书,右图为GeoTrust为谷歌定制的中级根证书。

SSL证书的江湖 SSL证书的江湖

四、 GeoTrust-VeriSign-Symantec-DigiCert

正是由于GeoTrust仅用了5年时间从零开始做到了全球市场份额第二,VeriSign于2006年9月5日以1.25亿美元的价格收购了GeoTrust,成为了VeriSign旗下品牌,VeriSign也就拥有了VeriSign/Thawte/GeoTrust/RapidSSL等SSL证书品牌。这是GeoTrust的第一个被卖,但继续保留GeoTrust独立品牌和GeoTrust根证书用于签发用户证书。

SSL证书的江湖 SSL证书的江湖

GeoTrust 第二次被卖发生在 2010年8月9日,安全厂商Symantec(赛门铁克)以12.8亿美元收购VeriSign数字证书业务,这样,GeoTrust也就被纳入赛门铁克名下,收购后继续保留GeoTrust品牌和根证书。如下左图所示为GeoTrust根证书签发的Symantec品牌中级根证书,左图为GeoTrust根证书签发的苹果品牌SSL中级根证书。

SSL证书的江湖 SSL证书的江湖

2017年9月谷歌宣布了不再信任赛门铁克旗下所有品牌根证书时间表,包括VeriSign、Symantec、GeoTrust、Thawte、RapidSSL等品牌SSL证书。所以,赛门铁克不得不把数字证书业务卖给了DigiCert,包括旗下的GeoTrust品牌,这是GeoTrust品牌第三次被卖,这一次只是继续保留GeoTrust品牌,但失去了自己的顶级根证书。所以,现在给用户签发的SSL证书的是GeoTrust中级根证书,顶级根证书是DigiCert。自此,可以认为GeoTrust已经不再存在了,只剩下一个品牌保留而已。

SSL证书的江湖 SSL证书的江湖

五、应对江湖险恶,明智的选择是马上实施SSL证书自动化管理

GeoTrust从被卖3次到最后失去自己的顶级根证书,读者应该能看到SSL证书市场的江湖险恶。对于SSL证书用户,特别是有许多网站系统都需要SSL证书的大机构如银行、政务云、商业云、互联网服务提供商等等,最明智的选择是不要只采购一个品牌的SSL证书,特别是不能只采购所谓的著名品牌,因为著名品牌最容易遭遇“枪打出头鸟”危机,一旦CA机构遭遇浏览器不信任或由于地缘政治原因而断供SSL证书,则所有系统都需要重新申请SSL证书和重新部署证书,这是一个巨大的工作负担,也一定会对业务系统正常运行造成一定的影响,甚至有可能是灾难性的影响。

所以,最正确的决策应该是现在开始规划和实施SSL证书自动化管理技术改造,这是SSL证书新规—缩短证书有效期为47天的迫切需求,SSL证书用户应该认准的是SSL证书提供商是否能提供SSL证书自动化管理解决方案,而不是仅仅追求证书品牌和纠结证书类型。SSL证书用户应该要求SSL证书自动化管理解决方案提供商能提供多CA签发通道,并且能自动切换证书签发通道,而证书用户无需做任何改变,保证用户网站不受CA根证书不受信任等各种原因的断供影响,只有这样才能切实保障关键业务系统的HTTPS加密不间断可靠运行。