目前,有一些公司或者個人出於成本的考慮,會選擇使用自簽名ssl證書,即不受信任的任意機構或個人,使用工具自己簽發的ssl證書。這絕對是www.cppcns.com得不償失的重大決策失誤,自簽證書普遍存在嚴重的安全漏洞,極易受到攻擊。一旦使用這種隨意簽發的、不受監督信任的證書,就很容易被黑客偽造用來攻擊或者劫持站點流量。
秘鑰已經不安全
目前幾乎所有自簽證書都是 1024 位秘鑰,自簽根證書也都是 1024 位。而 1024 位rsa非對稱金鑰對已經不安全了。美國國家標準技術研究院(nist)要求停止使用不安全的 1024 位非對稱加密算程式設計客棧法;微軟已經要求將所有 1024 位根證書從 windows 受信任的根證書頒發機構列表中刪除;谷歌chrome對自簽名ssl證書發出安全警告……從而可能影響**流量。
證書不受瀏覽器信任,易遭受攻擊
自簽名ssl證書是不受瀏覽器信任的,即使**安裝了自簽名ssl證書,當使用者訪問時瀏覽器還是會持續彈出警告,讓使用者體驗度大大降低。因它不是由ca進行驗證簽發的,所以ca無法識別簽名者並且不會信任它,因此私鑰也形同虛設,**的安全性會大大降低,從而給攻擊者可乘之機。
安裝容易,吊銷難
自簽名ssl證書是沒有可訪問的吊銷列表的,所以它不具備讓瀏覽器實時查驗證書的狀態,一旦證書丟失或者被盜而無法吊銷,就很有可能被用於非法用途從而讓使用者蒙受損失。同時,瀏覽器還會發出「吊銷列表不可用,是否繼續?」的警告,不僅降低了網頁的瀏覽速度,還大大降低了訪問者對**的信任度。
易被「釣魚」
自簽名ssl證書你自己可以簽發,那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性,分分鐘就能偽造出一張一模一樣的自簽證書來安裝在釣魚**上,讓訪客們分不清孰真孰假。
超長有效期,時間越長越容易被破解
&njcxplsrfobsp;自簽名ssl證書的有效期特別長,短則幾年,長則幾十年,想簽發多少年就多少年。而由受信任的ca機構簽發的ssl證書有效期不會超過 2 年,因為時間越長,就越有可能被黑客破解。所以超長有效期是它的乙個弊端。
為了**的安全,請停止使用自簽名ssl證書,推薦使用受信任的ca機構提供的免費且安全的ssl證書。目前,天威誠信公司是中國唯一一家由digicert/symantec直接授權且由中國工信部批准的ca認證機構,擁有最高的行業准入標準。您可登入ssl證書智慧型管理系統一鍵免費申請ssl證書。
但是,天威誠信提醒您,如果是重要的網銀系統、電子商務系統等,最好使用付費的企業級ov ssl證書或者增強型ev ssl證書,千萬不要圖便宜而使用不安全的自簽名ssl證書!
www.cppcns.com本文由程式設計客棧使用者投稿,未經程式設計客棧同意,嚴禁**。如廣大使用者朋友,發現稿件存在不實報道,歡迎讀者反饋、糾正、舉報問題(反饋入口)。
本文標題: 你還在用自簽名ssl證書嗎?
本文位址:
什麼是自簽名SSL證書
在ssl證書中,分類是很多的,包括了ca的ssl和一些網域名稱型別的ssl證書,那麼這些ssl中都有什麼區別呢,還有一種證書是ssl自簽名證書,那麼這種ssl自簽名證書是什麼呢,下面來看看吧。自簽名證書是什麼呢,其實很多人都不懂。不過這種證書是不可以登出的,如果被擷取了,可以重新進行通訊。而且自簽名...
OpenSSL生成自簽名SSL證書
create self signed cert.sh c cn st guangdong l guangzhou o xdevops ou xdevops cn gitlab.xdevops.cn 檢查是否已經安裝openssl openssl version genra 生成rsa私鑰 des3 ...
使用OpenSSL生成自簽名SSL證書
在server中配置 在瀏覽器中訪問 注意參見 create self signed cert.sh create self signed cert.sh c cn st guangdong l guangzhou o xdevops ou xdevops cn gitlab.xdevops.cn ...