关键词:
所谓自签SSL证书,是指不受信任的任意机构或个人,使用工具自己签发的SSL证书。自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器和操作系统信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多网站为了节约成本,采用自签名SSL证书,其实是给自己的网站埋下了一颗定时炸弹,随时可能被黑客利用。
网站使用自签SSL证书存在极大的风险,主要来自以下几个方面:
自签SSL证书最容易被假冒和伪造,被欺诈网站利用
自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!
而权威CA机构受国际标准组织审计监督,不可随意签发证书,必须严格认证申请者身份才能签发全球唯一的证书,不会出现被伪造的问题。正规SSL证书支持所有浏览器,由浏览器内置的可靠验证机制,自动识别SSL证书的真实信息和证书状态,如果出现证书绑定域名与实际域名不符、证书已吊销或已过期等异常情况,浏览器会自动发出警告提醒用户“此网站安全证书存在问题”,假冒网站无处遁形!
部署自签SSL证书的网站,浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。
自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。当网站被假的SSL证书替换时,浏览器会警告用户此证书不受信任,需要用户确认是否信任此证书,用户习惯性点击“继续浏览”,中间人攻击轻而易举的实现了。
自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。
自签SSL证书使用1024位RSA公钥算法
1024位RSA公钥算法已经被业界认定非常不安全了,美国国家标准技术研究院( NIST )要求停止使用不安全的1024位RSA公钥算法。微软已经要求所有受信任的根证书颁发机构必须于2010年12月31日之前将1024位根证书升级到2048位,停止颁发不安全的1024位用户证书,12 月 31 日之后把所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除!
而目前几乎所有自签证书都是1024位,自签根证书也都是1024位。由于网站部署自签SSL证书而无法获得专业SSL证书提供商的专业指导,根本就不知道1024位已经不安全了。
自签SSL证书支持超长有效期,时间越长越容易被破解
自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年甚至30年。因为自签证书制作无成本无监管,想签发几年就签发几年,而根本不知道PKI技术标准限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。
自签证书支持不安全的SSL通信重新协商机制及不安全的SSL协议和加密算法
几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞。自签证书系统没有跟随最新PKI技术及时修补漏洞,也不会指导用户关闭不安全的SSL协议和加密算法,没有任何售后服务和技术指导可言,一旦新型漏洞爆发没有得到及时指导修复,就会被黑客利用,进而截获用户的加密信息,如银行账户和密码等。
光网Gworg是全球信任的CA机构,连续多年通过Webtrust国际审计,严格按照国际标准验证审核,可签发的正规SSL证书,支持所有浏览器。必须通过审核才能签发,不能随意获取。光网CA全球独家提供2年期多域名SSL证书,让所有网站都能启用全球信任的SSL证书加密,保护用户数据传输安全,无需再使用自签证书。 也可以淘宝搜索:Gworg 获取证书。
参考技术A 自签名SSL证书有哪些风险?1. 自签SSL证书最容易被假冒和伪造,而被欺诈网站所利用
所谓自签证书,就是自己做的证书,既然你可以自己做,那别人可以自己做,可以做成跟你的证书一模一样,就非常方便地伪造成为有一样证书的假冒网银网站了。
而使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一样),由于浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
2. 自签SSL证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书!
点评 :第1点和第2点都是由于自签证书不受浏览器信任,而网站告诉用户要信任而造成!所以,作为用户,千万不要继续浏览浏览器有类型如下警告的网站;而作为网站主人,千万不要因为部署了自签证书而让广大用户蒙受被欺诈网站所攻击的危险,小则丢失密码而为你增加找回密码的客服工作量,大则可能让用户银行账户不翼而飞,可能要赔偿用户的损失!
也许你或者你的系统集成商会说:这不是什么大不了的事,只要用户安装了我的根证书,下次就不会提示了。理论上是的,但是,由于用户有过要求点击信任证书的经历,再次遇到要求点击信任证书时一定会继续点信任而遭遇了上了黑客的当!
即使你是在给用户安装USB Key管理软件时悄悄安装你的根证书,也是有问题的,自签证书无法保证证书的唯一性,你的自签根证书和用户证书一样有可能被黑客伪造。
不仅如此,除了以上两个大问题外,由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识,并没有跟踪最新的PKI技术发展,还存在其他重要安全问题。
3. 自签SSL证书支持不安全的SSL通信重新协商机制
经我公司专家检测,几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞,这是SSL协议的安全漏洞,由于自签证书系统并没有跟踪最新的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息,如银行账户和密码等,非常危险,一定要及时修补。
自签名ssl证书是啥?有用吗?
自己生成的SSL证书,不是CA机构颁发的SSL证书,称之为自签名证书。解释原因:受信任的SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏... 查看详情
自签名ssl证书是啥?有用吗
自己生成的SSL证书,不是CA机构颁发的SSL证书,称之为自签名证书。解释原因:受信任的SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏... 查看详情
如何使用 OpenSSL 生成自签名 SSL 证书?
】如何使用OpenSSL生成自签名SSL证书?【英文标题】:Howtogenerateaself-signedSSLcertificateusingOpenSSL?【发布时间】:2012-04-2721:10:49【问题描述】:我正在向嵌入式Linux设备添加HTTPS支持。我尝试使用以下步骤生成自签名证书:opensslreq-new&... 查看详情
android使用ssl自签名证书
...ug环境下可以考虑使用自签名证书。这篇内容将介绍Android如何使用自签名证书,主要分为以下4个步骤:创建服务端SSL自签名证书下载并配置Tomcat服务器Android端导入SSL证书同时支持自签名证书和系统证书1创建服务端SSL自... 查看详情
android使用ssl自签名证书
...ug环境下可以考虑使用自签名证书。这篇内容将介绍Android如何使用自签名证书,主要分为以下4个步骤:创建服务端SSL自签名证书下载并配置Tomcat服务器Android端导入SSL证书同时支持自签名证书和系统证书1创建服务端SSL自... 查看详情
android使用ssl自签名证书
...ug环境下可以考虑使用自签名证书。这篇内容将介绍Android如何使用自签名证书,主要分为以下4个步骤:创建服务端SSL自签名证书下载并配置Tomcat服务器Android端导入SSL证书同时支持自签名证书和系统证书1创建服务端SSL自... 查看详情
如何创建用于 Tomcat 的自签名 SSL 证书?
】如何创建用于Tomcat的自签名SSL证书?【英文标题】:HowtocreateaselfsignedSSLcertificateforusewithTomcat?【发布时间】:2017-07-2108:22:03【问题描述】:我想生成一个自签名SSL证书,并将其与Tomcat一起使用。我该怎么做?【问题讨论】:【... 查看详情
如何让 Python 请求信任自签名 SSL 证书?
】如何让Python请求信任自签名SSL证书?【英文标题】:HowtogetPythonrequeststotrustaselfsignedSSLcertificate?【发布时间】:2015-08-0500:25:30【问题描述】:importrequestsdata=\'foo\':\'bar\'url=\'https://foo.com/bar\'r=requests.post(url,data=data)如果URL使用自签... 查看详情
如何将 IPWorks 与自签名 SSL 证书一起使用?
】如何将IPWorks与自签名SSL证书一起使用?【英文标题】:HowcanIuseIPWorkswithaself-signedSSLcertificate?【发布时间】:2021-04-2600:53:40【问题描述】:我正在尝试找到一种方法来使用带有自签名SSL证书的/nSoftware\'sIPWorks服务器/客户端组件... 查看详情
Java中的SSL自签名过期证书
...路径的错误消息。所以我使用Firefox访问url并导出证书以添加到我的密钥库,使用keytool-importcert-aliasmycer 查看详情
自己生成的ssl证书与购买的ssl证书有啥区别?
...自己生成的证书若想要得到浏览器信任,需要手动将证书添加到信任列表,而购买的SSL一般是直接预埋在信任列表里面了 参考技术C有许多重要的公网可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是... 查看详情
自签名ssl证书介绍及其缺点
...类证书使用信任链,其中每个证书都由更可靠的证书签名和信任,此链一直延伸到根证书。SSL证书一般需要付费使用,以致很多没有安全预算的企业选择在网站上使用免费的自签名证书。那么自签名SSL证书是什么呢&#x... 查看详情
mac申请自签名的ssl证书
不建议申请自签名SSL证书,使用自签SSL证书的风险如下:第一、被“有心者”利用。其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张... 查看详情
IIS6:从命令行创建/安装 SSL 自签名证书
...til可用于执行此操作,但证书对我来说是新的,我不确定如何将它们放在一起。据我了解,我需要:创建证书将证书分配给网站向网站添加安全(SSL/44 查看详情
如何在 WCF 客户端中接受自签名 SSL 证书?
】如何在WCF客户端中接受自签名SSL证书?【英文标题】:Howtoacceptaself-signedSSLcertificateinaWCFclient?【发布时间】:2011-06-2600:30:20【问题描述】:这可能是一个愚蠢的问题,但我就是找不到答案。我想做的事:我有一个由IIS托管的WCF... 查看详情
手动验证 SSL 自签名证书签名 - javascript [重复]
】手动验证SSL自签名证书签名-javascript[重复]【英文标题】:ManuallyverifySSLSelfSignedcertificatesignature-javascript[duplicate]【发布时间】:2018-06-1813:28:31【问题描述】:我正在尝试手动验证自签名证书,但过程不清楚。我使用自己创建的ca... 查看详情
markdown如何生成sslcsr或自签名ssl证书(代码片段)
如何为测试目的创建自签名 SSL 证书? [关闭]
】如何为测试目的创建自签名SSL证书?[关闭]【英文标题】:HowtocreateselfsignedSSLcertificatefortestpurposes?[closed]【发布时间】:2012-12-2509:02:39【问题描述】:如何轻松创建自签名SSL证书以进行测试?【问题讨论】:请使用搜索,这应... 查看详情