1元虚拟主机

当前位置:  首页 >  常见问题 >  七个理由告诉你为什么不能选择自签SSL证书?

七个理由告诉你为什么不能选择自签SSL证书?

来源:未知

作者:admin

更新时间:2015-06-17 14:54

景安网络—专业的多线服务器托管商!提供快云服务器,快云VPS,虚拟主机,域名注册,网站空间,服务器托管,服务器租用,SSL证书。1元试用30天vps活动,活动进行中!查看详情

         随着互联网各类安全事件的频发,越来越多的人都开始选择为自己的网站部署证书,但由于第三方权威机构颁发的证书基本都是收费证书,因为成本原因有些人会选择部署自签SSL证书,那么自签证书真的比较好么?接下来的七个理由告诉你为什么不能选择自签SSL证书?
为什么不能选择自签SSL证书
        自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,自签证书普遍存在严重的安全漏洞,极易受到攻击。部署自签SSL证书可能会引起以下几个不良影响:

        一: 自签证书最容易被假冒和伪造,而被欺诈网站所利用。
        所谓自签证书也意味着你可以做,那别人可以做,会让有心人非常方便地伪造成为有一样证书的假冒网站,从而被欺诈网站所利用,产生不必要的损失。

        二: 自签证书最容易受到SSL中间人攻击。
        自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这给中间人攻击造成了可之机。
        典型的SSL中间人攻击是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统不能用自签SSL证书!

        三: 自签证书支持不安全的SSL通信重新协商机制。
        经我公司检测,几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞,这是SSL协议的安全漏洞,由于自签证书系统并没有跟踪的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息,如银行账户和密码等,非常危险,一定要及时修补。

        四:自签证书支持非常不安全的SSL V2.0协议。
 
        这也是部署自签SSL证书服务器中普遍存在的问题,因为SSL v2.0协议是最早出台的协议,存在许多安全漏洞问题,目前各种新版浏览器都已经不支持不安全的SSL v2.0协议。而由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导,所以,一般都没有关闭不安全的SSL v2.0协议。

        五: 自签证书没有可访问的吊销列表。
        这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟搞定,但真正让一个SSL证书发挥作用不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,极有可能被用于非法用途而让用户蒙受损失。同时,浏览器在访问时会有安全警告:吊销列表不可用,是否继续?,并且会大大延长浏览器的处理时间,影响网页的浏览速度。

        六:自签证书使用不安全的1024位非对称密钥对。
        1024位RSA非对称密钥对已经变得不安全了,所以,美国国家标准技术研究院( NIST)要求停止使用不安全的1024位非对称加密算法。微软已经要求所有受信任的根证书颁发机构必须升级其不安全的1024位根证书到2048位和停止颁发不安全的1024位用户证书。而目前几乎所有自签证书都是1024位,自签根证书也都是1024位,当然都是不安全的。还是那句话:由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导,根本不知道1024位已经不安全了。

        七: 自签证书证书有效期太长。
        自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱,多发几年吧,而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是:有效期越长,越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。
也许你会问,为何所有Windows受信任的根证书有效期都是20年或30年?好问题!因为:一是根证书密钥生成后是离线锁保险柜的,并不像用户证书一样一直挂在网上;其二是根证书采用更高的密钥长度和更安全的专用硬件加密模块。


        以上是自签证书可能带来的一系列的不良影响,为了您网站的安全您可选择景安WoSign品牌全线支持4096-2048位加密长度的 SSL证书!

本文链接:http://ssl.zzidc.com/changjianwenti/2015/0617/133.html

关键字:七个,理由,告诉,你,为什么,不能,选择,自签,SSL,

若无特别注明,文章皆为景安网络原创,转载请注明出处。

域名1元
 
返回顶部

联系我们

SSL产品
24小时客服热线:

4006-598-598

0371-9618961