Maj jest pierwszym miesiącem w historii publikowanych od 1997 statystyk firmy Netcraft, w którym malejący rynkowy udział serwerów SSL produkcji Microsoftu przeciął się z rosnącą krzywą otwartego Apache. Oba serwery mają obecnie po około 44% rynku.

Jeśli chodzi o standardowe serwery HTTP, Microsoft od samego początku pozostawał daleko za Apache, w okresach największego wzrostu osiągając niespełna połowę tego, co na rynku miał serwer Apache. W chwili obecnej Apache obsługuje prawie 65% serwerów WWW a Microsoft 25%.

Przyczyną przewagi Microsoftu na rynku serwerów SSL był fakt, że Apache w wersji pierwszej nie miał w ogóle obsługi bezpiecznego protokołu. Było to spowodowane zaszłościami historycznymi - gdy wychodziły pierwsze wersje Apache nadal obowiązywały amerykańskie obostrzenia na eksport kryptografii. Microsoft był w stanie częściowo pokonać te ograniczenia wprowadzając na rynek serwery z osłabionymi - ale dostępnymi standardowo - algorytmami, podczas gdy do Apache można było dodać obsługę pełnowartościowego SSL, ale tylko w postaci dodatkowych, zewnętrznych poprawek do kodu źródłowego.

Trend ten odwrócił się około roku 2003, kiedy stabilne wersje Apache zaczęły być rozprowadzane z bardzo starannie napisanym modułem mod_ssl autorstwa Ralfa Engelschalla. Wysoka jakość kodu i doskonała dokumentacja przyciągnęła do Apache tych, którzy wcześniej zniechęcili się do łatek. Nie bez znaczenia była bardzo wysoka wydajność i niski koszt wdrożenia Apache.

Wieści z rynku X.509

Niezbyt dobre wieści dochodzą z rynku certyfikatów SSL. Faktyczny monopol Verisign jest z każdym rokiem umacniany przez kolejne zakupy kolejnych konkurentów molocha. W 1999 roku najsilniejszym konkurentem Verisign była firma Thawte, która dzięki polityce niskich cen za certyfikaty osiągnęła prawie 40% rynku.

I w tym samym roku Verisign za 600 mln USD kupił Thawte, osiągając w ten sposób praktyczny monopol. Szybko odrobił stratę, bo certyfikaty, które w Thawte można było parę lat temu kupić za około 100 USD obecnie kosztuję prawie dwukrotnie więcej. Cena w Verisign za najtańszy certyfikat to jeszcze razy dwa.

Rynek nie lubi monopoli, więc wkrótce potem firma Geotrust postanowiła powtórzyć sukces Thawte w identyczny sposób - kusząc klientów nie barokowymi wodotryskami w certyfikatach, tylko uczciwą ceną za złożenie podpisu pod kluczem publicznym. W obecnej chwili Geotrust osiągnął 26% rynku i powtórzył los Thawte informując klientów, że firma została właśnie zakupiona przez... Verisign. Firma jest tańsza nawet od Thawte - o całe 10 USD.

Także polskie Certum, które od kilku lat może pochwalić się obecnością swojego "roota" w popularnych systemach operacyjnych (co jest głównym warunkiem wejścia na ten rynek) sprzedaje certyfikaty SSL po 200 USD.

Na rynku pozostaje nadal sporo firm, które oferują certyfikaty nawet od 20 USD rocznie (GoDaddy), 40 USD (ipsCA, Digi-Sign), 80 USD (InstantSSL). Polska firma Gigaone sprzedaje dobrze rozpoznawalne - bo "rootowane" przez Equifax - certyfikaty za równowartość 70 USD.

Jednak pomimo zapewnień, że sprzedawane przez nich certyfikaty mają rozpoznawalność wśród przeglądarek rzędu 98-99%, wielu klientów wybiera certyfikat dziesięciokrotnie droższy, wierząc że zapewnia on większe bezpieczeństwo. Wot, marketing...