使用自签SSL证书会有啥后果
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用自签SSL证书会有啥后果相关的知识,希望对你有一定的参考价值。
第一,在网站部署了自签发SSL证书之后,浏览器就会收到不安全警告。并非所有类型SSL证书都是受浏览器信任的,有些网站部署了自签证书后,浏览器会不断弹出警告信息,影响用户体验。
第二,自己签发SSL证书易受SSL中间人攻击。
在访问部署有自签发SSL证书的网站时,用户会对浏览器的警告熟视无睹,这样就会逐渐养成忽视浏览器警告的习惯,这无疑会给中间人以可乘之机,使网站受到中间人攻击。
第三,自签发SSL证书容易被假冒或伪造,容易被诈骗网站利用。
自签发SSL证书,自己可随时随意颁发,不受监督。假如你的网站使用的是自己签发的SSL证书,黑客可以伪造和你的网站相同的证书,然后用来钓鱼。
第四,没有可访问的自签发SSL证书吊销列表。
为了确保SSL证书可以正常运行,需要让浏览器实时检查SSL证书状态是否过期、吊销等等,证书必须包含一个浏览器可以访问的证书吊销列表。如果浏览器不能及时确认SSL证书的吊销状态,那么,一旦证书丢失或被偷窃而不能吊销,将较有可能使用户遭受损失。
第五,自签发SSL证书自发行之日起有效期长,时间越长越容易被破解。
由于自签发SSL证书由于制作成本不受监管,其有效期有的长达 5 年,有的甚至长达 20 年 30 年,这样黑客就有足够的时间来破解您的密码。 参考技术A
目前,有许多重要的公网可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。
目前几乎所有自签证书都是1024位密钥,自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法,微软已经要求将所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除;谷歌chrome对自签名SSL证书发出安全警告,从而可能影响网站流量。
自签名SSL证书存在哪些安全风险?
一、自签证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书!
二、自签证书最容易被假冒和伪造,而被欺诈网站所利用
所谓自签证书,就是自己做的证书,既然你可以自己做,那别人可以自己做,可以做成跟你的证书一模一样,就非常方便地伪造成为有一样证书的假冒网银网站了。
而使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一样),由于浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
三、自签SSL证书还存在风险:
· 不受浏览器信任,会持续弹出安全警告,影响用户体验。
· 自签名SSL证书没有可访问的吊销列表。
· 支持超长有效期,时间越长越容易被破解。
为了网络系统安全,请千万不要使用自签的SSL证书,从而带来巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。推荐使用受信任的CA机构提供的免费且安全的SSL证书。数安时代GDCA通过WebTrust国际认证,可以提供免费的SSL证书,受IE、Firefox、Chrome等各大主流浏览器的信任,兼容性高达99%,不会弹出安全警告,用户体验非常好。数安时代的免费SSL证书2048位RSA加密密钥,128位-256位加密强度,安全性有保证,对于个人站点或者中小型企业站点来说是不错的选择!
如果是重要的网银系统、电子商务系统等,最好使用付费的企业级OV SSL证书或者增强型EV SSL证书,千万不要图便宜而使用不安全的自签名ssl证书!请登录数安时代GDCA官网了解产品详情并进行申请~
参考技术B 受损的自签名证书可能会带来许多安全挑战,因为攻击者可以欺骗受害者的身份。与 CA 颁发的证书不同,自签名证书无法撤销。无法快速找到并撤销与自签名证书关联的私钥会带来严重的风险。
以上是关于使用自签SSL证书会有啥后果的主要内容,如果未能解决你的问题,请参考以下文章