自己生成的SSL证书与购买的SSL证书有啥重要的区别？

Posted 2023-04-30

1. 自签证书最容易被假冒和伪造，而被欺诈网站所利用
所谓自签证书，就是自己做的证书，既然你可以自己做，那别人可以自己做，可以做成跟你的证书一模一样，就非常方便地伪造成为有一样证书的假冒网银网站了。
而使用支持浏览器的SSL证书就不会有被伪造的问题，颁发给用户的证书是全球唯一的可以信任的证书，是不可以伪造的，一旦欺诈网站使用伪造证书(证书信息一样)，由于浏览器有一套可靠的验证机制，会自动识别出伪造证书而警告用户此证书不受信任，可能试图欺骗您或截获您向服务器发送的数据！
2. 自签证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况，用户必须点信任并继续浏览！这就给中间人攻击造成了可之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并与做一个假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书，则浏览器在收到假的证书时会有安全警告，用户会发觉不对而放弃连接，从而不会被受到攻击。但是，如果服务器使用的是自签证书，用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书，这样用户的机密信息就被攻击者得到，如网银密码等，则非常危险，所以，重要的网银系统绝对不能用自签SSL证书！
点评 ：第1点和第2点都是由于自签证书不受浏览器信任，而网站告诉用户要信任而造成！所以，作为用户，千万不要继续浏览浏览器有类型如下警告的网站；而作为网站主人，千万不要因为部署了自签证书而让广大用户蒙受被欺诈网站所攻击的危险，小则丢失密码而为你增加找回密码的客服工作量，大则可能让用户银行账户不翼而飞，可能要赔偿用户的损失！
也许你或者你的系统集成商会说：这不是什么大不了的事，只要用户安装了我的根证书，下次就不会提示了。理论上是的，但是，由于用户有过要求点击信任证书的经历，再次遇到要求点击信任证书时一定会继续点信任而遭遇了上了黑客的当！
即使你是在给用户安装USB Key管理软件时悄悄安装你的根证书，也是有问题的，自签证书无法保证证书的唯一性，你的自签根证书和用户证书一样有可能被黑客伪造。
不仅如此，除了以上两个大问题外，由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识，并没有跟踪最新的PKI技术发展，还存在其他重要安全问题。
3. 自签证书支持不安全的SSL通信重新协商机制
经我公司专家检测，几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞，这是SSL协议的安全漏洞，由于自签证书系统并没有跟踪最新的技术而没有及时补漏！此漏洞会被黑客利用而截获用户的加密信息，如银行账户和密码等，非常危险，一定要及时修补。 请参考文章《 SSL密钥重新协商机制有最大安全漏洞，急需用户升级补漏 》
4. 自签证书支持非常不安全的SSL V2.0协议
这也是部署自签SSL证书服务器中普遍存在的问题，因为SSL v2.0协议是最早出台的协议，存在许多安全漏洞问题，目前各种新版浏览器都已经不支持不安全的SSL v2.0协议 。而由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导，所以，一般都没有关闭不安全的SSL v2.0协议。
5. 自签证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟就搞定，但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必要功能是证书中带有浏览器可访问的证书吊销列表，如果没有有效的吊销列表，则如果证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。同时，浏览器在访问时会有安全警告：吊销列表不可用，是否继续？并且会大大延长浏览器的处理时间，影响网页的流量速度。请参考 什么是证书吊销列表(CRL)
6. 自签证书使用不安全的1024位非对称密钥对
1024位RSA非对称密钥对已经变得不安全了，所以，美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法。微软已经要求所有受信任的根证书颁发机构必须于2010年12月31日之前升级其不安全的1024位根证书到2048位和停止颁发不安全的1024位用户证书，12 月 31 日之后会把不安全都所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除！
而目前几乎所有自签证书都是1024位，自签根证书也都是1024位，当然都是不安全的。还是那句话：由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导，根本就不知道1024位已经不安全了。
7. 自签证书证书有效期太长
自签证书中还有一个普遍的问题是证书有效期太长，短则5年，长则20年、30年的都有，并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱，就多发几年吧，而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是：有效期越长，就越有可能被黑客破解，因为他有足够长的时间(20年)来破解你的加密。
也许你会问，为何所有Windows受信任的根证书有效期都是20年或30年？好问题！因为：一是根证书密钥生成后是离线锁保险柜的，并不像用户证书一样一直挂在网上；其二是根证书采用更高的密钥长度和更安全的专用硬件加密模块。
总之 ，为了您的重要系统安全，请千万不要使用自签的SSL证书，从而带来巨大的安全隐患和安全风险，特别是重要的网银系统、网上证券系统和电子商务系统。欢迎选购环智中诚品牌全线支持2048位加密长度的 SSL证书 ！
知乎作者：唐晓原 参考技术A

自己生成的ssl证书也叫自签名证书，是由创建它的人签署的证书，而不是由受信任的证书机构签发的证书。

自签名证书与受信任的SSL证书的区别在于：自签名证书普遍存在严重的安全漏洞，极易受到攻击，而且通常不受浏览器信任。因此，不建议大家使用自签名证书，以免造成巨大的安全隐患和安全风险，特别是重要的网银系统、网上证券系统和电子商务系统。而受信任的SSL证书的就不存在这个情况。

使用自签名证书两个主要的弊端：

1）访问者的连接可能会被劫持，从而攻击者便能查看所有发送的数据（因此违背了加密连接的目的）

2）证书不能向受信任的证书那样进行撤销。

参考技术B 区别很大哦，不仅仅是费用问题，还涉及到产品类型、产品功能。
首先，自己生成的免费ssl证书不受浏览器信任，而且功能上会比付费的ssl证书差；

其次，自己生成的ssl证书的证书颁发者是自己，这样的证书为根证书；而购买的证书由权威的CA机构颁发的证书，具有真实性校验。

但建议您可以去天威诚信等正规且权威的CA机构（如天威诚信）上选择一款适合自己的SSL证书。同时，天威诚信证书智能管理系统可一键申请免费ssl证书，同时天威诚信的用户即可免费注册使用证书智能管理平台。本回答被提问者和网友采纳 参考技术C 您好！

一、自签名的SSL证书不会被浏览器信任、没有安全保密作用、不会被用户认可等。
二、Gworg注册的SSL证书会被浏览器信任，打开网站安全象征性，用户增加信任度。

单域名SSL证书和多域名SSL证书有什么区别？

我们在申请SSL证书的时候会发现SSL证书类型分为单域名SSL证书、多域名SSL证书和通配符SSL证书三种。那么单域名SSL证书、多域名SSL证书和通配符SSL证书这三种证书有什么区别呢？哪种类型的SSL证书更适合自己的网站？

域名证书在购买成功后，需要将对应的域名与已购买的证书进行绑定，绑定成功后域名才具备传输加密和身份核验功能。单域名证书、多域名证书和通配符证书这三种不同类型的证书区别就在于绑定的域名类型和数量不同。

单域名SSL证书，只能绑定单个域名，如您购买的example.com域名，则需要在配置域名时，填写example.com域名进行绑定即可。

多域名SSL证书，可以绑定多个域名，不限主域名还是子域名，比如可以使example1.com、example2.com等多个主域名，也可以是1.example.com、2.example.com这样的多个子域名。购买了几个域名证书，就可以绑定几个域名，只需将其中一个设为主域名，其余设为附加域名，完成绑定即可。

通配符SSL证书，只可以绑定一个主域名下的多个子域名，如1.example.com、2.example.com等这些域名都属于example.com的不同子域名，所以只需要购买通配符SSL证书，将其与*example.com这个泛域名绑定，就可以完成对旗下所有子域名的证书配置。

所以在申请SSL证书时一定要根据自己网站性质和业务需要选择适合自己的SSL证书类型。一般来说，只具有一个主域名的申请一张单域名SSL证书就可以了；如果公司业务比较多且使用多个不同主域名，则需要购买多域名SSL证书；如果公司业务比较多但使用的是多个子域名，购买通配符SSL证书更合适。

以上就是关于SSL证书类型以及证书选择的相关介绍，如有需要可随时联系中科三方咨询购买。