自签名SSL证书是一种不受信任的任意机构或个人签发的SSL证书,虽然它可以节省一定的费用,但由于存在一些安全隐患和风险,因此在选择使用自签名SSL证书时需要格外谨慎。
自签名SSL证书的主要风险
不受浏览器信任
自签名SSL证书不是经权威的CA机构签发的,因此难以被各大浏览器厂商信任。当用户访问使用自签名SSL证书的网站时,浏览器会持续弹出安全警告,警告用户访问该网站可能带来的风险,严重影响用户体验度,并可能造成潜在用户的流失
容易遭受SSL中间人攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都会明确地告诉用户这种情况,用户必须点信任才可继续浏览!这就给中间人攻击造成了可乘之机。 典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。 如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。 但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书
易被“钓鱼”
自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假
超长有效期,时间越长越容易被破解
自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端
自签名SSL证书的安全隐患
秘钥已经不安全
目前几乎所有自签证书都是1024位密钥,自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。美国国家标准技术研究院要求停止使用不安全的1024位非对称加密算法,微软已经要求将所有1024位根证书从Windows受信任的根证书颁发机构列表中删除;谷歌chrome对自签名SSL证书发出安全警告,从而可能影响网站流量
总结
综上所述,自签名SSL证书虽然可以在一定程度上保护网站的安全,但其存在的风险和安全隐患远大于带来的益处。因此,在选择使用自签名SSL证书时,应该仔细权衡其风险和成本效益,并尽可能选择受信任的CA机构提供的SSL证书来确保网站的安全性和用户的信任度。
原创文章,作者:Ur47000,如若转载,请注明出处:https://wyc.retuba.cn/16561.html
