为什么大公司都在卖套牌贴牌SSL证书，他们真的不知道吗？

原创

Gworg

发布于 2026-03-18 16:12:42

940

很多人纳闷了，那么多售卖SSL证书的比如：阿里、腾讯、华为的公司不知道是套牌贴牌SSL证书？他们都知道，利益成就的现实，这是一个对话。

问：为什么你知道这是套牌贴牌SSL证书，还要挂网上卖呢？

答：你以为我想？这是市场需求。

问：解释一下什么个市场需求？

答：顾客需求是这样说的："我们单位根据上面的要求，要求实现国产化、信创改造"。

但中国国产SSL证书，谁可以满足99%兼容性，CFCA官方说是满足主流浏览器99%，但历史发布的古老的浏览器和操作系统呢？CFCA定价高，一本OV顶得上别的机构的5年SSL证书总价，CFCA还不支持DV类型，认证速度慢效率低，自助体验不高，虽然是国产又有多少单位买得起，这只不过是SSL证书，很多单位没有必要投入。另一个问题国产SSL证书我们都知道就CFCA一家兼容性还可以，别的机构信任度还要低，价格和CFCA一样没有什么优势。

问：明白了，中国是有国产SSL证书但产品并不符合技术上的需求，价格高对于很多企业无力承担成本，而且还不支持DV类型。那么对于这种情况是怎么解决的呢？

答：CFCA价格太高确实很多用户无法承受，另一点是没有什么利润，比如SSL证书的成本8000元，所有的代理商都是一样的成本价格，在这种微薄利润空间徘徊，所以实际销售的时候，顾客只看谁更加便宜，就选谁。这样下去我们都得饿死啊，顾客要符合国产化、信创改造的国产SSL证书，有这样的需求，我们也想转发，干脆自己注册一个中国商标，然后用这个商标名称套在国外的根证书上，这样顾客安装好SSL证书在证书基本信息上就可以看到具有中国注册商标的名称的颁发者，肉眼上看起来不就是国产SSL证书了，而且利润空间很大，几百块可以当作几千块卖，如果顾客要求OCPS自己在域名上加一个CDN加速，这样就实现国内OCSP，国内传输了。顾客根本不会发现，就是发现了，很多政府单位也不会跟你打官司，因为多一事不如少一事。就这样安装数量案例多了，只要不出问题，谁又会说？利润空间大了，对顾客逢年过节意思意思，大家都好过，这样的产品是不是国产又有什么关系。

你要说国产CFCA是国产，但验证同样要出国，我们都知道国际算法听的CA/B规则，他们要求远程验证身份，那你必须按照这样的要求来，否则你就拿不到SSL证书。还不如直接套一个中国注册的商标，贴个牌子卖，赚得多，顾客也可以交差。

问：卖套牌贴牌SSL证书，对外说是国产SSL证书，是不是不太好？

答：你放心，我们合同不写国产SSL证书，就算写我们也不会写具体的颁发机构。我们合同就写我们品牌的名称，改成：CNTrust，或者叫做国产品牌SSL证书、国产化品牌证书、自主签发SSL证书。

问：如果顾客一定要写国产SSL证书怎么办？

答：那容易，写国产SSL证书，然后技术参数写：证书链：国内根证书，均需为顶级根二级根服务，无额外套根（三级根或四级根情况），根证书无市场大批量负面影响及安全隐患。

问：这样有什么区别？

答：因为套牌贴牌SSL证书，我们是没有自己根证书的，但写根二级根服务，其实就是中间证书，这种证书上线有我们自己的名称，所以用户就是要闹事，也没用，因为都写着呢。

问：顾客如果一定要国产根证书怎么办？

答：也有办法，找一个中国根和国外根证书做交叉链的CA机构贴牌就可以了，这样在主流浏览器打开网站显示中国国产根证书，用户自然心服口服。

问：什么叫做中国根和国外根证书做交叉链的CA机构？

答：其实是有国产根证书的SSL证书厂家，他们的根证书只能支持当前新的浏览器或者操作系统，有的古老的浏览器或者系统都不信任，然后他们就有了办法，找一个国外的机构比如certum便宜的根证书做交叉链，这样可以实现古老的浏览器打开SSL证书实现的是国外的根证书，然而用新版的浏览器打开实现中国国产根证书。

问：没有听懂，可以通俗一点吗？

答：某国产CA机构，国产根证书名称叫做：TLS RSA Root CA，根证书只能给Windows11或者新版浏览器信任，但Windows其它老的浏览器版本都不信任，如果用户使用Windows11操作系统浏览器打开，就会显示TLS RSA Root CA根证书。但用户如果用老的浏览器打开会显示Certum国外的机构。这种SSL证书是解决了自己的根证书兼容性很低的问题，我们行业称之为“国外与国内混搭根证书”，又有中国根证书，又有国外根证书。

我给你两张图片，你就知道了。

这一张是最新的谷歌浏览器打开的，你可以看到是国产根证书。