自签名的SSL证书怎么样?
发布网友
发布时间:2022-04-24 12:17
共4个回答
热心网友
时间:2023-10-12 14:01
自签名SSL证书存在以下弊端:
1、秘钥已经不安全
目前几乎所有自签证书都是1024位秘钥,自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。美国国家标准技术研究院(NIST)要求停止使用不安全的1024位非对称加密算法;微软已经要求将所有1024位根证书从Windows受信任的根证书颁发机构列表中删除;谷歌chrome对自签名SSL证书发出安全警告……从而可能影响网站流量。
证书不受浏览器信任,易遭受攻击
自签名SSL证书是不受浏览器信任的,即使网站安装了自签名SSL证书,当用户访问时浏览器还是会持续弹出警告,让用户体验度大大降低。因它不是由CA进行验证签发的,所以CA无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,从而给攻击者可乘之机。
2、安装容易,吊销难
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
3、易被“钓鱼”
自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假。
4、超长有效期,时间越长越容易被破解
自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。
因此,为了网站的安全,建议大家不要使用自签名SSL证书。可以选择权威的CA机构颁发的SSL证书,如Symantec、Comodo等。
热心网友
时间:2023-10-12 14:01
热心网友
时间:2023-10-12 14:02
热心网友
时间:2023-10-12 14:02
首先是最容易受到SSL中间人攻击。为什么这么说呢?因为自签证书是不会被浏览器所信任的证书,用户在访问自签名ssl时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
国内外具有权威认证的机构对SSL证书的颁发是有严格的规定,不可以随意签发才有一定安全性可言。而且对于被颁发SSL证书的机构或者个人都会进行严格的审核。因而也就降低了被伪造的机率,而且会受到各大浏览器、操作系统的认可,也就有了被信任的说法,这样也就使得黑客进行攻击时也就会没有漏洞可钻了。
自签名的SSL证书,使用1024位的RSA算法安全性问题存疑。就目前来说,1024位的RSA算法已经被业界人士否定了安全性,美国国家标准技术研究院对这种不安全性算法已经明文停止使用。微软公司早在2010年将所有的SSL证书算法升级到2048位,目的很明确就是提高就算发的安全性。
目前所有的自签证书都是旧的算法,安全性极差,自然各大浏览器和操作系统受信任度极差。如果你强行部署这种证书,不仅是给自己的网站埋下一颗定时*,也是对相信你的所有用户的一种辜负。安全性,不仅是每一个网站要做的,也是每一个中国公民应该负起责任和义务。我们现在互联发展速度越来越快,网络普及范围越来越广,对网络要求也越来越高。
如果服务器部署的支持浏览器的可信的SSL证书,那么用户在浏览器在收到假的证书时这时候会弹出警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签名ssl,用户会以为是网站又要他点信任而麻木地点信任了攻击者的*书,这样用户的机密信息就被攻击者得到
