自签名SSL证书是啥?有用吗?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了自签名SSL证书是啥?有用吗?相关的知识,希望对你有一定的参考价值。

自己生成的SSL证书,不是CA机构颁发的SSL证书,称之为自签名证书。

解释原因:

    受信任的SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。

    自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏洞安全风险较高。

自签名主要风险:

    浏览器的地址栏会提示风险不安全网站。

    小程序或APP无法应用与支持。

    无法实现信用与接口交易行为。

    网页会被劫持,被强制插入广告或跳转到其它网页。

    用户数据明文传输,隐私信息被中间劫持。

    极容易被劫持和钓鱼攻击。

自签名安全隐患:

    自签证书最容易受到SSL中间人攻击

    自签证书支持不安全的SSL通信重新协商机制

    自签证书支持非常不安全的SSL V2.0协议

    自签证书没有可访问的吊销列表

    自签证书使用不安全的1024位非对称密钥对

    自签证书证书有效期太长

    自签证书普遍存在严重的安全漏洞,极易受到攻击

解决方法:Gworg申请可信SSL证书。

参考技术A 自签名SSL证书即自己给自己颁发的SSL证书,不受任何第三方监督,是不被任何浏览器信任的。自签名SSL证书的缺点如下:

1、容易遭受黑客攻击

因为自签名SSL证书不是由CA机构进行颁发的,所以CA机构是无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,很容易就会遭受黑客的攻击,没有任何安全保障。

2、大大降低用户体验度

自签名SSL证书是自己可以给自己签发的,没有任何可信度,所以是不受任何浏览器信任的,即使安装了自签名SSL证书,当用户在访问时浏览器依然会弹出“不安全”的警告,大大降低了用户体验度。

3、超长有效期,容易被破解

自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。

4、安装容易,吊销难

自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
参考技术B 自签名证书,就是自己颁发给自己的证书,通常颁证的主体是不可信,带来的弊端则是用户在访问网站时,浏览器会警告用户此证书不受信任,并弹出弹窗让用户人工确认是否信任证书,从而降低了用户对网站的信任程度,大概率流失该用户。目前如SIPO、POWERCHINA、中粮、用友等网站,都是用天威诚信的SSL证书,是国内自主的CA机构,从千禧年便从事SSL证书行业,拥有20年的行业经验,也是第 一家工信部批准的全 国性电子认证机构~现在到阿里云购买vTrus证书,还有8.5折优惠~本回答被提问者采纳

OpenSSL生成HTTPS自签名证书

参考技术A 之前在Windows上有用Perl编译过OpenSSL,不过只是要用它的两个静态库,这次搭一个https server还要用它来生成自签名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32/openssl.exe,编译过程可以去网上查,资料还是挺多的。
OpenSSL默认加载配置文件路径是 /usr/local/ssl/openssl.cnf ,因此在开始前需要先设定一下'OPENSSL_CONF'环境变量:

之后就可以根据自己的需求来生成密钥和证书了,关于SSL/TLS原理此处也不多赘述,其中包含了多种非对称加密、对称加密算法,下面将罗列生成CA、server、client三方证书的步骤,但对于只做单向鉴定的情况下client证书是不必要的。

过程都是相同的,先生成1024位的RSA私钥,然后生成证书请求文件(.csr),csr文件经CA私钥签名后生成公钥(即X.509证书),如果需要的话还可以再把它导出为其他格式比如PKCS#12证书(.p12)。

以上是关于自签名SSL证书是啥?有用吗?的主要内容,如果未能解决你的问题,请参考以下文章

SSL证书无效是啥原因?

linux apache ssl自签名数字证书可以用于公网吗

自签名SSL证书介绍及其缺点

如何添加自签名SSL证书 自签名SSL证书存风险

MAC申请自签名的ssl证书

什么是自签名SSL证书?