有些公司或个人出于成本考虑会选择使用自签SSL证书,即任何组织或个人认为不可信的可以使用SSL证书工具自行颁发。这绝对是得不偿失的重大决策失误。自签名证书一般存在严重的安全漏洞,极易受到攻击。这种随机颁发的、不受监督的、受信任的证书一旦被使用,很容易被黑客伪造以攻击或劫持网站流量。为什么自签名SSL证书不安全?目前几乎所有的自签名证书都是1024位的密钥,自签名的根证书也是1024位的。1024位RSA非对称加密密钥对不再安全。美国国家工业标准与技术研究院(NIST)要求禁用不安全的1024位非对称加密算法。微软已经要求从Windows可信根证书授予组织目录中删除所有1024位根证书;来自自签名SSL证书的安全警告可能会危及网站流量。自签名SSL证书的安全风险自签名SSL证书有哪些安全风险?1.自签名证书最容易受到SSL中间人攻击。自签名证书不容易被浏览器信任。申请证书时,浏览器会提示用户该证书不可信任,需要人工判断是否信任该证书。所有使用自签名证书的网站都明确告知用户出现了这样的事情,用户一定要点击信任继续预览!这为中间人攻击创造了机会。典型的SSL中间人攻击是指客户端与客户端或服务器处于同一局域网内,客户端可以抓取客户端的数据文件,包括SSL数据文件,并通过伪造的方式与客户端通信服务器SSL证书,然后捕获客户输入的机密信息。如果服务器部署了与浏览器兼容的可靠的SSL证书,浏览器在收到假证书时会产生安全警告,用户会发现错误而放弃连接,这样就不会受到攻击。但是,如果服务器使用自签名证书,用户会认为是网站要求信任,麻木地址信任网络攻击的假证书,从而获取用户的机密信息受到网络攻击,如网银密码等,风险很大,因此,主要网银系统软件一定不要使用自签名的SSL证书!2、自签名证书最容易被伪造和伪造,欺诈网站使用的所谓自签名证书就是自己制作的证书,既然你自己能做,别人也能自己做,并且可以制作成和你的证书一模一样的,非常方便伪造,成为一个证书一模一样的假冒网银网站。使用与浏览器兼容的SSL证书将不会被伪造。发给用户的证书是世界上唯一可靠的证书,不可伪造。欺诈网站一旦使用假冒证书(证书信息内容相同),由于电脑浏览器具有可靠的验证机制,会自动检索假冒证书,并警告客户此证书不可信任,并会进行欺骗您或捕获您发送到服务器的统计数据!3、有效期长,时间越长越容易被破解。自签名SSL证书的有效期很长,从几年到几十年不等,可以签发多少年。受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长越容易被黑客破解。所以有效期长是它的缺点之一。自签名SSL证书存在浏览器不信任的风险,会不断弹出安全警告,影响用户体验。自签名SSL证书没有可浏览的吊销目录。·兼容更长的有效期,时间越长越容易被破译。为了使用系统安全,请不要使用自签名的SSL证书,这会带来巨大的安全风险和隐患,尤其是重要的网上银行系统、网上证券系统和网上商城系统。强烈建议使用受信任的CA组织提供的免费且安全的SSL证书。自签名SSL证书也存在风险:不被浏览器信任,会不断弹出安全警告,影响用户体验。自签名SSL证书没有可访问的吊销列表。支持超长有效期,有效期越长越容易被破解。如果是重要的网上银行系统、网上购物系统等,最好使用付费的公司级OVSSL证书或增强型EVSSL证书,不要贪图便宜使用不安全的自签名SSL证书!
