近日，互联网界一场关乎权威、信任、制裁的大战拉开序幕，谷歌和赛门铁克开撕，巨头怼巨头 。（不太了解赛门铁克（Symantec）的请自行谷歌） Google Chrome开发人员严重责骂HTTPS凭证的最大供应商之一，宣布计划在被发现超过30,000个证书的发现后严格限制赛门铁克所有发行商出售的运输层安全证书。 在一份声明中， Google Chrome 团队开发者 Ryan Sleevi 称发现赛门铁克错误颁发三万多个 SSL 证书，并且知晓后在长达一个月的不作为， Chrome 立即将赛门铁克及其所属 CA 的颁发的 SSL EV 证书（浏览器地址栏显示绿锁）降级到普通证书（灰锁），并在未来几个版本的浏览器更新中逐步过期所有赛门铁克证书。赛门铁克证书占所有活跃证书数量的 30%～ 45%，如果不是考虑到大规模瘫痪整个网络的风险， Chrome 应该一夜间吊销所有赛门铁克证书。此次事件影响极大，国内的七牛和阿里云等网络巨头已经在过去一段时间里颁发了无数个免费赛门铁克证书。颁发及使用赛门铁克证书的公司应该立刻采取行动，更换证书。   简而言之就是： 封杀！ 赛门铁克CA为网站颁发证书， 谷歌却说他的证书有问题不可信， 这已经是个原（da）则（lian）问题了。 【一个老梗】 打个不严谨的比方， 一个很有声望的教授经常为学生写推荐信， 推荐学生去知名公司上班， 这时忽然 有个知名的大公司跳出来说：“ 这教授推荐的人不行啊， 三观不正能力不行， 完全是瞎搞！” 然后列举了许多他胡乱举荐的例子， 让教授的公信力瞬间大打折扣， 其他公司也不敢要他推荐的学生了。 谷歌就是这个跳出来的公司， 赛门铁克就是写举荐信的教授。 浏览器和CA的相爱相杀 要了解此次谷歌和赛门铁克互撕事件背后的利害关系，还得从 CA证书的原理来说起。我们平时使用浏览器时，经常看到一个绿色的小锁   它表明你进入的是真的，而不是伪造的网站，并且所有通信都会基于证书来进行加密。 CA机构给网站颁发证书（证书签发机构，简称“CA”），浏览器则会通过一些加密、哈希算法验证证书是否有效，最后告诉用户。 证书一般分成三类： DV、OV 、和 EV ，加密效果都是一样的，区别在于： DV（Domain Validation），面向个体用户，安全体系相对较弱，验证方式就是向 whois 信息中的邮箱发送邮件，按照邮件内容进行验证即可通过； OV（Organization Validation），面向企业用户，证书在 DV 证书验证的基础上，还需要公司的授权，CA通过拨打信息库中公司的电话来确认； EV（Extended Validation），URL 地址栏展示了注册公司的信息，这类证书的申请除了以上两个确认外，需要公司提供金融机构的开户许可证，要求十分严格。 OV 和 EV 证书相当昂贵。 那么问题来了，CA机构掌握“生杀大权”，如何颁发证书全凭他说了算，浏览器只是一个验证的角色。万一 CA胡乱颁发证书怎么办？又或者，如果CA机构被黑客入侵导致证书泄露，造成了问题怎么办？ 对于大多数普通用户来说，一旦网站出现问题，他们只会认为：浏览器告诉我这个网站是可信的，可是我被黑了，浏览器骗了我，浏览器有问题！ CA开心地卖证书赚钱，出了问题浏览器厂商也要背锅。于是市场份额最大的 Chrome 开始了“找茬”之路。此次谷歌和数字证书领域的老大哥赛门铁克交手，也并不是第一次。 你出问题，我就找茬 2011年3月，证书市场份额前列的科摩多（Comodo）公司遭黑客入侵，七个Web域共9个数字证书被窃，包括：mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。当时有人称那次事件为“CA版的 911攻击。” 同年，荷兰的 CA机构 DigiNotar 同样遭到了黑客入侵，颁发了大量的伪造证书。由于这些伪造证书，数百万用户遭到了中间人攻击。 这些事件给人们敲响了警钟，结束了人们盲目信任CA的时代，也为谷歌之后的一系列动作埋下了伏笔。 2013年“棱镜门事件”爆发，斯诺登泄露的文件中透露：美国国家安全局就利用一些 CA颁发的伪造SSL证书，截取和破解了大量 HTTPS 加密网络会话。 谷歌再也坐不住了，同年便发起了证书透明度政策（Certificate Transparency，简称CT）。这一政策的目标是提供一个开放的审计和监控系统，让任何域名所有者或者 CA确定证书是否被错误签发，或者被恶意使用，从而提高HTTPS网站的安全性。 这个计划具体是这么来做的： 要求CA公开其颁发的每一个数字证书的数据，并将其记录到证书日志中。 这个项目并没有替代传统的CA的验证程序，但是谷歌起到了一个监督CA的作用，用户可以随时查询来确保自己的证书是独一无二的，没别人在使用你的证书，或者伪造你的证书。 证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书，以此来缓解可能会出现的安全问题，例如中间人攻击。 之后的几年里，证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书，比如帮助 facebook团队发现了不少伪造其证书的子域名网站。 从那时开始，浏览器厂商和 CA机构之间的其妙关系就开始导致了更多事情。 和赛门铁克交手 2015年9月和10月，Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书，其中包括Google旗下的域名和不存在的域名。 赛门铁克当时的解释是：“那批证书只是一个测试证书，仅测试一天就吊销了，没有泄露出去也没有影响到用户” 。赛门铁克随后还是炒掉了相关的雇员。 然而这一系列动作并没有改变谷歌的对此事的决策。…

      本文就来为大家梳理一下当前可供大家免费使用的SSL证书： 一、Let's Encrypt 1、Let's Encrypt是国外一个公共的免费SSL项目，由 Linux 基金会托管，它的来头不小，由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由HTTP过渡到HTTPS。 2、Let's Encrypt安装部署简单、方便，目前Cpanel、Oneinstack等面板都已经集成了Let's Encrypt一键申请安装，网上也有不少的利用Let's Encrypt开源的特性制作的在线免费SSL证书申请网站，总之Let's Encrypt得到大家的认可。 申请地址：https://letsencrypt.org/ 二、StartSSL 1、StartSSL是StartCom公司旗下的SSL证书，应该算是免费SSL证书中的“鼻祖”，最早提供完全免费的SSL证书并且被各大浏览器所支持的恐怕就只有StartSSL证书了。任何个人都可以从StartSSL中申请到免费一年的SSL证书。 2、首次申请StartSSL免费SSL证书是免费一年，但是你可以在第二年继续续期。之前StartSSL管理SSL证书只有本地浏览器安装数字证书一种，所以一旦本地的数字证书丢失的话就无法获取到自己之前申请的证书了，不过现在已经增加了邮箱登录了。 3、如果你有看新闻，也许已经知道了“Mozilla正式提议将停止信任 WoSign 和 StartCom 签发的新证书”，对于StartSSL请观察事态发展后再谨慎使用。 申请地址：StartSSL官网 三、COMODO PositiveSSL 1、COMODO官网只有免费90天的SSL证书试用申请，这个COMODO PositiveSSL证书来自UK2公司，VPS.net等就是UK2公司旗下的产品。目前获取UK2提供的免费COMODO PositiveSSL不需要额外的操作，只需要你将域名的IP地址解析到指定的IP即可。 2、先把域名解析到UK2公司的服务器上，然后在网页上获取SSL证书并下载，最后你就可以解除域名解析，同时将下载的域名证书文件上传到服务器配置SSL即可。不过由于是UK2提供的COMODO PositiveSSL免费证书，如果你没有用他们的主机总归不知道哪一天会出问题的。 四、CloudFlare SSL 1、CloudFlare提供的免费SSL证书是UniversalSSL，即通用SSL，用户无需向证书发放机构申请和配置证书就可以使用的SSL证书，CloudFlare向所有用户(包括免费用户)提供SSL加密功能。 2、不过Universal SSL的服务对免费用户有限制，CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器，这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。 相关阅读：CloudFlare SSL和Wosign沃通SSL申请开通和安装使用 五、Wosign沃通SSL 1、Wosign沃通是国内一家提供SSL证书服务的网站，其免费的SSL证书申请比较简单，在线开通，一个SSL证书只能对应一个域名，支持证书状态在线查询协议(OCSP)。 2、由于Wosign沃通SSL是一家国内的SSL服务商，所以SSL证书申请和管理都比较简单，并且网站使用的是中文有问题还可以联系客服。不过，受“Mozilla正式提议将停止信任 WoSign 和 StartCom 签发的新证书”的影响，请观察后再决定是否使用。 六、腾讯云DV SSL 证书 腾讯云DV SSL 域名型证书由赛门铁克提供自动审核认证，快速签发，支持自动 CSR 生成、域名身份 DNS 自动验证，一步提交申请，审核签发流程全自动。可以一键部署到腾讯云资源，轻松获得数据安全。 七、loovit.net AlphaSSL loovit.net 是国外一个网站，背景不详，只是从今年四月份开始陆续有朋友告诉我这个网站提供了免费AlphaSSL证书申请，部落自己试了一下发现申请容易，但是成功率并不是100%。 八、360网站卫士、百度云加速免费SSL 360网站卫士、百度云加速与Symantec等合作推出了免费的SSL证书，其实类似于上面的腾讯云DV SSL 证书，只不过360网站卫士如果要使用SSL证书必须得实名认证而且还得使用他们家的CDN。而百度云加速则只能使用百度云服务器才可以申请免费SSL证书。 免费SSL证书小结 1、记得几年前使用SSL证书的网站仅限于一些电子商务类的网站，但是现在各大搜索引擎、各类行业网站都纷纷上马了Https，而SSL证书价格也是越来越低，免费的SSL证书也越来越多了，可供大家的选择也是越来越多了。 2、上面介绍的八大免费SSL证书，要说最让人放心的当属Let's Encrypt了，效果也可以参考部落网站。其它七个免费SSL证书，建议大家谨慎使用，对于一些重要的网站还是建议你直接购买SSL证书：Namecheap SSL一年就十美元。