自簽名SSL證書(shū),是指不受信任的任意機構或個人,使用工(gō輛歌ng)具自己簽發的SSL證書(shū)。有一(yī)些公司或者個人出于成本自通的考慮,會選擇使用自簽名SSL證書(shū)。一(yī)旦使用這種煙技随意簽發的、不受監督、信任的證書(shū),就很容易被黑客僞造用報話來攻擊或者劫持站點流量。所以,自簽名SSL證書(sh機水ū)是不安全的,存在較大(dà)的安全隐患。
任何網站安裝了自簽名SSL證書(shū)都錢草會存在很大(dà)的安全隐患和風險。爲了讓大(dà)家更好的了都見解它的弊端,對這些隐患和風險做了個歸總,具體又他(tǐ)如下(xià):
秘鑰已經不安全
目前幾乎所有自簽證書(shū)都是1024位密鑰,說女自簽根證書(shū)也都是1024位。而1024位RSA非對稱密鑰章山對已經不安全了。美國國家标準技術研究院( NIST )要求停止使用不安全音商的1024位非對稱加密算法,微軟已經要求将所有 1024 位根證知事書(shū)從 Windows 受信任的根證書(s道的hū)頒發機構列表中(zhōng)删除;谷用動歌chrome對自簽名SSL證書(shū)發出裡什安全警告,從而可能影響網站流量。
證書(shū)不受浏覽器信任,易遭受攻擊
自簽名SSL證書(shū)是不受浏覽器信任的,即使網站安裝了自簽名SSL信生證書(shū),當用戶訪問時浏覽器還是會持續彈出警告,讓用戶體(tǐ)亮對驗度大(dà)大(dà)降低。因它不是由CA進山愛行驗證簽發的,所以CA是無法識别簽名者并且不會信件低任它,因此私鑰也形同虛設,網站的安全性會大(dà)大(大對dà)降低,從而給攻擊者可乘之機。
安裝容易,吊銷難
自簽名SSL證書(shū)是沒有可訪問的吊銷列表的,所以它不工微具備讓浏覽器實時查驗證書(shū)的狀态笑媽,一(yī)旦證書(shū)丢失或者被盜而無法吊銷,就很有可能被用于非法用途笑如從而讓用戶蒙受損失。同時,浏覽器還會發出到裡“吊銷列表不可用,是否繼續?”的警告,不僅降低了網頁的浏覽速度,還議新大(dà)大(dà)降低了訪問者對網站的信任度。
易被“釣魚”
自簽名SSL證書(shū)你自己可以簽發,那麽同樣别人也們員可以簽發。黑客正好利用其随意簽發性,分(fēn)分(fēn的讀)鍾就能僞造出一(yī)張一(yī)模一(yī)樣的自簽北兒證書(shū)來安裝在釣魚網站上,讓訪客們分(fēn)不清孰真孰假媽林。
超長有效期,時間越長越容易被破解
自簽名SSL證書(shū)的有效期特别長,短信習則幾年,長則幾十年,想簽發多少年就多少年。而由受信任的CA機構簽近高發的SSL證書(shū)有效期不會超過2年,因爲時間越又件長,就越有可能被黑客破解。所以超長有效期是它的一(yī)個弊端。
爲了網站的安全,請停止使用自簽名SSL證書(shū),推薦使用受信任的C畫不A機構提供的免費(fèi)且安全的SSL證書(shū)。黃你如果是重要的網銀系統、電(diàn)子商(shān少新g)務系統等,最好使用付費(fèi)的企業級OV SSL證書(shū理雨)或者增強型EV SSL證書(shū),千萬不要圖便宜而使用店內不安全的自簽名ssl證書(shū)!
上一(yī)篇:網絡攻擊如何應對
下(xià)一(yī)篇:SSL證書(shū)也不是萬能的