Symantec/DigiCert智商税SSL证书产品

最早使用Symantec SSL证书产品无论是个人还是企业，无论你从什么渠道，你突然收到提供商替换通知，要求重新颁发SSL证书，一夜之间变成了DigiCert。

你是否记得打出的口号是：Symantec/DigiCert证书认证平台联合升级计划

其实Symantec把所有用户全部被卖了！农村有句老俗话"别人把你卖了,你还帮别人数钱"。

作为用户的你，没有一家提供商告诉你真实原因，没错！身经百战的Symantec作为早期CA行业内的领头者，既然被剔除信任！这相当于从豪华套餐的游艇转变成淹死的鱼。

你知道吗？当Symantec被剔除信任，意味着Symantec连自签名都不算！至少自签名你本地点一下放根证书目录还信任，但你用Symantec的根证书将直接拦截不信任，这在整个世界上，并不是个例，但你想想一个那么大体系的CA机构，触犯了什么？直接让这个爆满信任的CA机构面临如此？其实想想就知道，触犯了不可原谅的错误！触犯了老天都不能包你的错误！至此Symantec数字证书其实变成不入流SSL证书。

现在，我们展开来，到底什么事情？

看到谷歌公告了Symantec既然没有经过谷歌的同意，直接颁发了EV SSL证书！这是什么概念？意味着Symantec可以不经过用户同意随意的签发SSL证书，还好谷歌不是金融机构，如果是银行相当于把银行的保险箱密码在没有用户的同意的情况下，随便换，意味着里面的钱Symantec比金融机构更有把握掌控。

SSL证书我们一直在想的是公钥和私钥分离，私钥在用户手中，CA机构根本不知道，只有自己知道，大家都是这样想的，这样绝对安全，但万万没有想到的是，Symantec既然在没有经过用户同意的情况下，直接生成一本的SSL证书，意味着无论是公钥还是私钥全部在Symantec自己手中！意味着SSL证书毫无用处，如果是银行相当于在线传输数据数据形同虚设！你在外面输入密码别人可以看得一清二楚，还知道你整条的数据信息，验证甚至中间服务器兜一圈都不会被发现任何错觉。

我们来看看谷歌官方的公告原文：

Symantec犯的错误是要打破整个数字认证行业的关键，千防万防防不住Symantec！你想想看，假如：你设置了一个支付密码，但平台在没有你的同意的情况下，帮你设置了新密码，并且这件事你毫不知情，并且新密码和老密码都可以使用，意味着别人随时可以提取你的钱。

Symantec立马动身，采取了一系列举动，挽回这场错误！

结果：谷歌不做回复。

后来就我们看到的所谓的升级计划，其实就是Symantec玩不转了，趁现在自己的错误还没有被用户知道，先下手为强，直接将直接业务全部打包给Digicert

当时相信国内没有几个人知道DigiCert，国外也一样，这是因为Digicert压根不是什么主流机构，要和Sectigo相比，给Sectigo提鞋都不够，业务那是一塌糊涂，曾经有人说过Digicert是不是不做数字证书的。

但Symantec看上了Digicert，主要原因是Digicert有很不错的根证书，意味着可以解决信任问题，而且Digicert并且市场不大，很容易谈判。

Symantec直接将整个数字证书销售网络毫无保留的转给Digicert换得一些股份，当然Digicert做得很聪明。

Digicert要求的不只是这些，将Symantec所有数字证书品牌权全部拿到，这样Digicert在自己根证书服务器里面创建大量中间证书，让他们看起来和之前一样，看起来他就是Symantec，这样可以卖个好价钱：RapidSSL、GeoTrust给中间用于还单独创建了Secure Site、Secure Site Pro（看起来和赛门铁克的牌子的名称）。

其实这些证书只是中间证书名称不一样，里面的根证书一模一样“别人是换汤不换药”Digicert为了赚钱，是汤也不换，药也不换，直接两个字“升级”“涨价”解决了所有问题。

生意做成这样，古今中外，第一人！反正就是不说，真实的原因，忽悠的用户那可是团团转！

如果你在选择Digicert SSL证书，我告诉你怎么买。

DV类型单域名或者通配符：Encryption Everywhere，单域名价格100元，通配符不会超过一千元上线！也可以选择RapidSSL。

OV、EV类型单域名或者通配符（混合类型、多域名通配符等）：直接选择：GeoTrust。

你找金牌代理商申请，报价使劲砍，尤其是今年，毫无底线，OV通配符优惠下来2000元左右很正常，逼近了免费给你都有可能。

不建议选择：Secure Site Pro、Secure Site其它同子品牌的SSL证书了，因为他们其实是一个东西！

兼容性、安全性怎么样？

别给所谓的保障金额保额骗了，因为这些金额根本没有能力赔付给你，Symantec就是典型案例，他出现如此大的安全问题，有谁拿到赔付了？估计你都不知道发生了什么？

一模一样，你怕兼容性太低，在根证书交叉链的DigiCert Global Root CA（2006-11-10 ~ 2031-11-10）加到直接证书链里面就可以了。

你在关心OCSP？

很多人就喜欢国内OCSP，这其实也是一些提供商造出来的产品特征区别性，其实在5年之前压根没有人关系这个事情，没有任何安全问题，这几年用了OCSP转发出来的看似国内的反而不安全，这些国外的机构其实就是注册了域名在国内绑定了阿里云CDN转发一下，安全性怎么样，问技术的就知道了，不如直接来条CA机构源问题还不会被劫持，重点至少这条域名不是被转发又被转发的。

SSL证书安全是否，首先看的就是SSL证书信不信任，另外安全事故多不多

总结

无论多大的CA机构只要谷歌、火狐这种大公司其中一家不信任，这家CA机构SSL证书其实就已经破产了。

国内四大行有条件的选择国产SSL证书，如果确实不放心的，建议还是选择GlobalSign这种大机构，但一定要选择DigiCert建议选择Sectigo更加安全，更加可靠，如果是因为Symantec必须要选择DigiCert，建议直接选择Encryption Everywhere或者GeoTrust。