Let's encrypt吊销300万张证书，免费SSL证书真的免费吗？

由于CAA代码中存在Bug，免费证书颁发机构Let’s encrypt决定吊销300多万张客户证书。由于事发突然，Let’s encrypt仅对有联系方式的用户进行了邮件通知，且从通知到吊销留给用户的更新时间不足24小时，可能造成大量用户无法及时更新证书，出现网站业务中断，造成直接经济损失。

Let’s encrypt名为Boulder的CA软件中出现CAA代码Bug，导致Let’s encrypt在没有遵循规范正确检查CAA记录的情况下签发了大量SSL证书，这批问题证书需要强制吊销并于美国东部时间3月4日晚上9点（约为北京时间3月5日上午10点）开始执行。根据Let’s encrypt官网用户评论显示，很多用户没有及时收到通知，且在短时间内完成证书更新也存在困难。免费证书颁发机构在人员配置、服务响应、技术支持等方面资源有限，受影响的300多万用户可能无法及时得到证书服务和技术支持。沃通CA配备专业客服团队和技术支持团队，提供全天候客户服务、一对一技术指导，以及DV（域名验证型）、OV（企业验证型）、EV（扩展验证型）等全线SSL证书产品，可以为受影响的用户提供及时的帮助支持，快速完成SSL证书替换部署。

从此次事件来看，对于企业用户而言，在企业网站、业务平台、信息系统等Web站点上部署免费SSL证书，可能并不意味着真正免费。免费SSL证书缺失了网站身份认证功能，虽然降低了部署成本，但也成为钓鱼网站、恶意网站用于仿冒合法网站的工具；而免费SSL证书安全事件爆发及服务响应能力不足等问题，导致用户网站业务中断并使网站处于被劫持、被窃听等安全风险中，由此带来的经济损失远超SSL证书采购成本。

因此，沃通CA建议企业用户通过专业SSL证书提供商申请OV和EV SSL证书。OV和EV SSL证书需要完成严格的身份认证，恶意网站或钓鱼网站很难申请使用OV或EV SSL证书；此外，SSL证书产品重在专业服务支持，选择配备专业服务团队和技术支持团队的SSL证书提供商（如：沃通CA），获得一对一专属客户服务和技术指导，解决SSL证书配置更新等后顾之忧，才能让SSL证书产品发挥其应有作用，保障网站安全可信并持续稳定运行。