自簽名SSL證書安全嗎？

目前，許多可透過公網訪問的重要網站系統正在使用自簽名的SSL證書，即由自建的PKI系統頒發的SSL證書，而不是部署支援瀏覽器的SSL證書。這絕對是一個重大的決策錯誤，弊大於利。自簽證書存在嚴重的安全漏洞，極易受到攻擊。

為什麼自簽名SSL證書不安全?

目前，幾乎所有自簽證書都是1024位金鑰，自籤根證書也都是1024位。1024位RSA非對稱金鑰對不再安全。美國國家標準技術研究院(NIST)要求停止使用不安全的1024位非對稱加密演算法。微軟已要求從Windows受信任的根證書頒發機構列表中刪除所有1024位根證書。谷歌Chrome對自簽名SSL證書發出安全警告，這可能會影響網站流量。

自簽名SSL證書有哪些安全風險?

一、自簽名SSL證書最容易受到SSL中間人的攻擊

自簽證書是瀏覽器不信任的證書。當使用者訪問自簽名證書時，瀏覽器將警告使用者該證書不可信，並且需要人工確認是否信任該證書。所有使用自簽證書的網站都明確地告訴使用者這種情況。使用者必須點選信任並繼續瀏覽!這為中間人攻擊創造了機會。

典型的SSL中間人攻擊是中間人與使用者或伺服器在同一個區域網，中間人可以截獲使用者的資料包，包括SSL資料包，並透過製作假的伺服器SSL證書與使用者通訊，從而截獲使用者輸入的機密資訊。如果伺服器部署了支援瀏覽器的受信任的SSL證書，當瀏覽器收到假的證書時會有安全警告，使用者將發現不對並放棄連線，因此不會受到攻擊。但是，如果伺服器使用自簽名證書，使用者會認為網站要求他繼續點選信任從而信錯了攻擊者的假證書，使用者的機密資訊會被攻擊者獲取，如網上銀行密碼，這是非常危險的。因此，重要的網銀系統絕不能使用自簽名的SSL證書!

二、自簽證書最容易被假冒和偽造，而被詐騙網站所利用

所謂的自簽名證書就是你自己製作的證書。既然你可以自己做，那麼其他人也可以自己做，並且做成和你的證書一模一樣，這樣的話用同樣的證書偽造一個假的網銀網站就非常方便了。

然而使用支援瀏覽器的SSL證書不會有被偽造的問題。頒發給使用者的證書是世界上唯一的可信的證書，不能偽造。一旦詐騙網站使用偽造的證書(證書資訊是相同的)，由於瀏覽器有一套可靠的驗證機制，它會自動識別偽造的證書，並警告使用者證書是不可信的，並可能試圖欺騙你或攔截你傳送到伺服器的資料!

三、自簽名SSL證書存在風險：

1.瀏覽器不信任，安全警告將持續彈出，影響使用者體驗。

2.自簽名的SSL證書沒有可訪問的吊銷列表。

3.支援超長有效期，時間越長，就越容易被破解。

為了網路系統的安全，請不要使用自簽名的SSL證書，這會帶來巨大的安全風險和安全隱患，特別是重要的網銀系統、網上證券系統和電子商務系統。建議使用由可信的CA機構頒發的安全SSL證書。

文章來自 網