如今SSL證書已經(jīng)得到普及，https站點(diǎn)隨處可見。不同規(guī)模、類型的網(wǎng)站會(huì)根據(jù)自己需求，選擇不同價(jià)格的SSL證書。

所有的SSL證書使用者都知道，可靠性高、服務(wù)好的SSL證書都是要花錢的，但是心中不免會(huì)犯嘀咕。為什么有的證書一年要一百多，有些卻要上萬元?SSL證書那么貴，成本又是多少呢?

有人認(rèn)為，SSL證書的成本是0。生成一張SSL證書只需要幾秒鐘的時(shí)間，而且技術(shù)相當(dāng)透明，實(shí)現(xiàn)和算法原理都有公開的發(fā)布。之所以SSL證書價(jià)格高，是因?yàn)镃A(數(shù)字證書頒發(fā)機(jī)構(gòu))的信用度和權(quán)威性高導(dǎo)致的。

還有的人認(rèn)為，SSL證書要審核、要驗(yàn)證，要想進(jìn)入各個(gè)主流瀏覽器的根證書列表，也要有相應(yīng)的支出。但數(shù)字證書仍然是暴利行業(yè)，妥妥的鈔票打印機(jī)。

從簽發(fā)的角度上說，簽發(fā)一張SSL證書的成本是0，這種說法沒有問題，一個(gè)普通人通過學(xué)習(xí)，也可以簽發(fā)SSL證書。但這種說法，卻忽略了生產(chǎn)SSL證書的成本。

我們先以一個(gè)著名的數(shù)字證書頒發(fā)機(jī)構(gòu)為例，看看其整體營(yíng)收情況，再來說說SSL證書的各種費(fèi)用構(gòu)成。

GlobalSign成立于1996年，是全球最早的數(shù)字證書認(rèn)證機(jī)構(gòu)之一，公布位于日本東京，主要提供CA認(rèn)證、SSL數(shù)字證書簽發(fā)和PKI服務(wù)，

根據(jù)其財(cái)報(bào)顯示，2020年GlobalSign總收入為133億日元(約7.81億人民幣)，毛利為79.5億日元(約4.67億人民幣)，毛利率高達(dá)59%。然而其凈收入?yún)s只有11.7億日元(約6871萬人民幣)。

不難看出，簽發(fā)一張SSL證書沒有什么成本，但想要生產(chǎn)一張受信任的SSL證書，成本可能非常高。

SSL證書的生產(chǎn)成本來自于：

驗(yàn)證CSR成本

當(dāng)客戶申請(qǐng)SSL證書時(shí)，CA需要對(duì)申請(qǐng)者的身份以及所提供的資料進(jìn)行審核，驗(yàn)證。審核和驗(yàn)證只能依賴人工進(jìn)行，每次審核和驗(yàn)證都不是固定成本，有時(shí)需要十幾分鐘，有時(shí)甚至需要幾個(gè)小時(shí)的時(shí)間才能完成。

越高級(jí)的證書，驗(yàn)證越繁瑣，比如EV級(jí)證書的驗(yàn)證和審核，需要花費(fèi)很多人力來完成。

法律成本

SSL證書是基于信任的一種產(chǎn)品，為了提升產(chǎn)品信任度以及規(guī)避風(fēng)險(xiǎn)，CA每年都需要支付高昂的保險(xiǎn)費(fèi)。

審計(jì)成本

要進(jìn)入各大主流瀏覽器的根證書列表，CA每年必須經(jīng)過WebTrust的年度審計(jì)，這是一筆很大的開銷。

植入根證書的成本

一些瀏覽器廠商，還會(huì)對(duì)植入根證書列表的CA收取費(fèi)用。

基礎(chǔ)設(shè)施成本

證書過期后，CA需對(duì)這個(gè)證書做出吊銷處理，一種古老的方案是將吊銷證書放入CRL中予以公布，以便用戶查詢證書的有效性，現(xiàn)在更多的是用OCSP，不論是CRL還是OCSP，都需要服務(wù)器的支持。

CA鏈費(fèi)用

新開的CA公司要等5-10年，才會(huì)被普遍信任，才能廣泛進(jìn)入根證書鏈。要想加快點(diǎn)，就得給別的大牌CA公司掏錢，買次級(jí)證書。

數(shù)字證書的競(jìng)爭(zhēng)日益激烈，SSL證書的價(jià)格也在不斷下降。未來，將會(huì)有越來越多的網(wǎng)站配置SSL證書，價(jià)格也只會(huì)越來越低。