自簽名SSL證書安全嗎?
目前,許多可透過公網訪問的重要網站系統正在使用自簽名的SSL證書,即由自建的PKI系統頒發的SSL證書,而不是部署支援瀏覽器的SSL證書。這絕對是一個重大的決策錯誤,弊大於利。自簽證書存在嚴重的安全漏洞,極易受到攻擊。
為什麼自簽名SSL證書不安全?
目前,幾乎所有自簽證書都是1024位金鑰,自籤根證書也都是1024位。1024位RSA非對稱金鑰對不再安全。美國國家標準技術研究院(NIST)要求停止使用不安全的1024位非對稱加密演算法。微軟已要求從Windows受信任的根證書頒發機構列表中刪除所有1024位根證書。谷歌Chrome對自簽名SSL證書發出安全警告,這可能會影響網站流量。
自簽名SSL證書有哪些安全風險?
一、自簽名SSL證書最容易受到SSL中間人的攻擊
自簽證書是瀏覽器不信任的證書。當使用者訪問自簽名證書時,瀏覽器將警告使用者該證書不可信,並且需要人工確認是否信任該證書。所有使用自簽證書的網站都明確地告訴使用者這種情況。使用者必須點選信任並繼續瀏覽!這為中間人攻擊創造了機會。
典型的SSL中間人攻擊是中間人與使用者或伺服器在同一個區域網,中間人可以截獲使用者的資料包,包括SSL資料包,並透過製作假的伺服器SSL證書與使用者通訊,從而截獲使用者輸入的機密資訊。如果伺服器部署了支援瀏覽器的受信任的SSL證書,當瀏覽器收到假的證書時會有安全警告,使用者將發現不對並放棄連線,因此不會受到攻擊。但是,如果伺服器使用自簽名證書,使用者會認為網站要求他繼續點選信任從而信錯了攻擊者的假證書,使用者的機密資訊會被攻擊者獲取,如網上銀行密碼,這是非常危險的。因此,重要的網銀系統絕不能使用自簽名的SSL證書!
二、自簽證書最容易被假冒和偽造,而被詐騙網站所利用
所謂的自簽名證書就是你自己製作的證書。既然你可以自己做,那麼其他人也可以自己做,並且做成和你的證書一模一樣,這樣的話用同樣的證書偽造一個假的網銀網站就非常方便了。
然而使用支援瀏覽器的SSL證書不會有被偽造的問題。頒發給使用者的證書是世界上唯一的可信的證書,不能偽造。一旦詐騙網站使用偽造的證書(證書資訊是相同的),由於瀏覽器有一套可靠的驗證機制,它會自動識別偽造的證書,並警告使用者證書是不可信的,並可能試圖欺騙你或攔截你傳送到伺服器的資料!
三、自簽名SSL證書存在風險:
1.瀏覽器不信任,安全警告將持續彈出,影響使用者體驗。
2.自簽名的SSL證書沒有可訪問的吊銷列表。
3.支援超長有效期,時間越長,就越容易被破解。
為了網路系統的安全,請不要使用自簽名的SSL證書,這會帶來巨大的安全風險和安全隱患,特別是重要的網銀系統、網上證券系統和電子商務系統。建議使用由可信的CA機構頒發的安全SSL證書。
文章來自 網
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69979098/viewspace-2713021/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 自簽名ssl證書
- 自簽名SSL證書有風險嗎?
- 什麼是自簽名SSL證書?自簽名證書有哪些安全隱患?
- 什麼是自簽名證書?自簽名SSL證書的優缺點?
- 使用OpenSSL生成自簽名SSL證書
- 如何快速建立自簽名 SSL 證書 -- [mkcert]mkcert
- 自簽名的SSL證書與專業的SSL證書有哪些區別?
- 程式碼簽名證書與SSL證書區別
- 自簽名證書 nginx tomcatNginxTomcat
- openssl生成自簽名證書
- 建立自簽名根證書-中間證書。
- 什麼是伺服器SSL證書 是SSL加密證書還是程式碼簽名證書伺服器加密
- 使用mkcert建立自簽名證書mkcert
- Xamarin Android使用自簽名證書Android
- Apache 配置https 自簽名證書 或者 購賣證書ApacheHTTP
- SSL自簽名證書具備什麼樣的優點和缺點
- Akka-CQRS(13)- SSL/TLS for gRPC and HTTPS:自簽名證書產生和使用TLSRPCHTTP
- 本地簽發ssl證書(https)HTTP
- netcore 內網部署https自簽名證書NetCore內網HTTP
- 網站安裝SSL證書就安全了嗎?不,SSL證書會過期!網站
- Shell指令碼實現生成SSL自簽署證書指令碼
- 自籤SSL證書有哪些安全隱患
- 程式碼簽名證書
- Net8 使用BouncyCastle 生成自簽名證書AST
- 簡易實現 HTTPS (二) 自簽名證書HTTP
- 為IP地址簽發SSL證書
- 免費SSL證書包括DigiCert SSL證書可選嗎?
- thawte程式碼簽名證書和Comodo程式碼簽名證書區別
- ios簽名證書:什麼是證書?iOS
- SSL證書是一個域名一個證書嗎?多個域名能用一張SSL證書嗎?
- iOS證書籤名機制&重簽名&防止重簽名iOS
- 程式碼簽名證書真的是必不可少的嗎
- SSL證書的簽發時間和訂單時間同步嗎
- EV程式碼簽名證書和標準程式碼簽名證書有何不同?
- SSL證書需要花錢買嗎?免費SSL證書不能用?
- 什麼是免費SSL證書?免費SSL證書能用嗎?
- 部署了SSL證書使用者隱私安全了嗎?
- DigiCert EV 程式碼簽名證書