我们是微软，反抗是徒劳的，你们都会被同化！

站住

证件拿出来

不知道差友们中有没有 Oculus Rift 玩家？

它昨天出大事儿了。。。

Oculus 是最早开始做 VR 游戏头显的厂商之一，目前有很多 PC 平台的 VR 游戏爱好者有这玩意儿。

如果你男朋友拥有 Oculus Rift ，并且昨天用 “ 我在玩儿 VR ” 作为没接你电话的借口，那你看到这个消息以后可以让他跪下了。。。

昨天所有 Oculus Rift 头显不能用了

要用 Oculus Rift 玩游戏，电脑上得装个配套软件。但这软件昨天更新好以后罢工了，导致全球 Oculus Rift 玩家不能搞虚拟现实游戏/小电影了。

至于这次大翻车的原因也被曝出来了：安全证书过期。

一旦安全证书过期不能用了，这个软件启动时候会直接被 Windows 拒绝运行。那么问题来了，安全证书究竟是啥，为啥这么敏感地拒绝一个明明功能完善的软件？

安全证书是软件开发商的信用证明，证明这个软件真的是自己发布的。

支付宝安全控件安装的时候，

能正常显示 “ 已验证的发布者 ”

那软件开发商为啥要 “ 证明自己是自己 ” 呢 ？

假设黑客写了个假程序，伪装起来打包发到网上，那么用户装了这些东西，就会很危险。。。

所以说开发商需要给软件自证，来保证吃瓜群众不会中招。

对不确定软件，安装的时候对话框是黄色

不过这个证书不是开发商自己搞的，他们要向专门的证书颁发机构申请一个证书，并且在软件打包以后加上一个 “ 数字签名 ”。

差评君为了易读性，撇开中间的加密过程不谈，简单的概括这个证书的作用就是：检查这个软件的版本对不对，有没有被修改过。

如果说数字签名对上了，那一般来说这个软件是可以相信的。

通常来说，数字签名很难被模仿。

但很难不代表不可能，因此有的厂商不会用同一套证书和签名很久，有效期越短说明更新得越快，也就越安全。

也有的厂商选择很长的有效期，这样就尽量减少像 Oculus Rift 昨天翻车那种事情发生的可能。

这两种选择没有对错，这是个工程问题，在各种妥协中找最优解而已。

不过这个数字证书还是容易产生不少问题的。

首先，这是一条信任链，顶端就是最高的证书颁发机构，也就是 “ 根证书颁发机构 ”，使用这套系统意味着大家都无条件信任他们。

现在微软一般都会在系统中提前安装好主流的颁发机构，这种关系很容易发展成微软和根证书颁发巨头的 PY 交易。。。

比如说微软为了打压竞争对手，招呼几个主流的根证书颁发机构不给微软的竞品发证书，或者颁发机构为了额外利益，倒卖证书。。。

这个潘多拉盒子就摆在那里，过于中心化的管理会存在这样的隐患。

赛门铁克（ 杀毒软件诺顿的开发商 ）曾经就爆出过这种丑闻，谷歌 Chrome 之后不再信任它颁发的证书了。

第二个问题是为了搞数字证书，开发商要摊额外成本。

因为负责的证书颁发机构真的要去仔细审查开发商，还得配一套加密工具（ 公钥和密钥 ）给开发商，来来去去也要成本。

当然，有的只负责审查的机构会便宜一些，不过这样一来开发者还得自行研究证书加密，摊到开发人员上也算是一笔技术成本。

SSL 证书，有了它才能从 HTTP 变成 HTTPS，多一层加密

第三个问题是证书管理，Oculus Rift 这车就翻这儿了。

好比管个钥匙，它很重要，你没了车钥匙开不了车，没了家门钥匙回不了家，你没证书软件不能运行，因为系统定期检查证书过没过期。

但你肯定也会在处理钥匙的时候出过问题，比如说车钥匙没了不能上班，钥匙被偷了得换锁，或者说，你现在能马上想起你每把钥匙放哪儿了吗？

证书问题就和上面的情况一样容易出问题，但一旦没搞好，比如说像 Oculus 一样过期了，那懵逼的可是全球的用户。。。

经过紧急抢修，他们现在搞定了

更有的开发者，比较傲娇，非得有 “ 我可不可信我说了算 ” 这种心态，自己给自己颁证书，比如说铁道部，比如说曾经的各大银行。。。

12306 为了安全，不让黑客劫持你访问他们的官网，的确需要搞数字证书。

可他们毕竟是国企，不能轻易相信别人，只好自己给自己颁了。

不过铁道部这个其实做得也没错，现在几个主流的颁发机构都在老外手里，这铁路又是国家资源。。。

比如说前文提到的赛门铁克就是个美国企业。

不过这样还好，大不了你不信任可以不装，结果就是用不了服务而已，就好比你家要装修，你不给装修队钥匙。

但除此之外的特例，我们一般用户不应该没事儿乱装根证书，乱发你家钥匙，也许今天人家是来装修的，明天就把你家当都给捞干净了。

比如在微软家里，你不装他和他基友一起搞出来的这些证书，想安心用个软件很难了。。。

差评君和你讲了这玩意儿，希望你以后可以稍微看一眼安装来源，互联网时代虽然方便，但坏心眼儿的太多了！

“ 这玩意儿虽然有隐患，但是是现在的最优方式了。。。 ”