如今，越來越多的網站開始選擇申請SSL證書對用戶隱私和數據安全加以保護，而免費SSL證書的出現則讓很多網站運營者偷著樂了一把。但這樣的“免費午餐”是不是真的占到了便宜呢?

近年來隨著https加密的普及，在我們的潛意識中早已形成了這樣的認知：https可以防止“釣魚”網站，網站有https標識就表明已經進行了https加密，可以放心地訪問，甚至是輸入賬號密碼等敏感信息了。但看到下面這個例子，你就會明白“免費午餐”不好吃也不能吃了。

上面這個Google鏈接看似很安全，也有https安全標識，但實際卻是一個假冒谷歌Play商店的釣魚網站。仔細觀察，你會發現網址中包含兩個“.com”，而谷歌Play商店的真實網址是https://play.google.com/store。為什么“釣魚”網站也能顯示https?

權威CA機構天威誠信技術負責人提到，SSL證書是由數字證書管理機構(簡稱CA)簽發的，為了提升SSL證書的普及率和自身產品市場占有率，部分CA機構也對外提供免費的SSL證書。當網站申請SSL證書時，通常會要求網站提交身份資質文件(如企業營業執照、組織機構代碼證等)，經過CA人工審核通過并支付一定費用后才可頒發。

而免費SSL證書往往通過程序自動匹配申請人或機構信息和所申請的域名信息，只要匹配一致就能獲得證書，不需要人工審核。這類證書只能驗證域名所有權，無法對組織進行驗證，即無法驗證服務器身份，因此留下了很大的安全漏洞和隱患。黑客只需驗證域名信息就能輕松獲得證書，從而為自己披上看似可信的外衣。而此時的https仍可起到加密傳輸的作用，但信息傳輸的目的卻由真實網站的服務器變成了黑客的“釣魚”服務器，信息加密也就如同皇帝的新衣，黑客抓取用戶敏感信息就變得探囊取物般輕而易舉。

除了黑客“釣魚”的風險外，免費SSL證書在使用時還有諸多限制。比如：免費證書只能綁定單個域名、不支持通配符域名等。同樣的，這類“免費的午餐”相關服務也會大打折扣，大多數免費的SSL證書都由用戶自行安裝，無法提供后期服務和技術支持，在證書遇到問題時，也無法及時得到解決。另外，某些品牌的免費SSL證書有效期過短，每三個月就要更新一次，到期后還要自己申請，很多用戶很容易就會忘記續期。

在目前免費證書身份驗證機制還不完善的情況下，出于對用戶、網站自身安全的考量，管理員應避免使用免費SSL證書，尤其是大型企業或機構網站、涉及用戶隱私及金融交易的電商類平臺更不能選擇“免費的午餐”。比如網站安裝了Digicert/Symantec頒發的OV型SSL證書，當你點擊地址欄中的鎖型圖標時，顯示網站身份經DigiCert認證，說明該網站證書、身份真實可靠。

總的來說，免費SSL證書雖然申請流程簡單，但僅支持加密功能，無法驗證服務器身份，由此引發的潛在威脅較大，并不建議企業機構采用。

在選購付費SSL證書時，應盡量選擇天威誠信這類權威的CA機構。這些經過國家認可的CA機構，是負責發放和管理數字證書的權威機構，并作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。而選擇免費證書的用戶，常常在對密鑰的保存和后續的維護、更新、賠償等服務中遭遇問題。因此，選擇一個具有技術支持能力、擁有完善服務體系、具備良好市場信譽度和口碑的CA機構就顯得尤為重要。需要強調的是，https網站的整體安全性依然遠高于非https網站，而大型網站一定不要選擇“免費”午餐，用戶在訪問網站時也一定要仔細辨別SSL證書，這樣才能更有效的保障隱私安全。