重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
说起SSL证书中,其实是分有很多种的,除了CA的SSL和一些域名类型的SSL证书之外,还有一种ssl自签名证书,那么ssl自签名证书是什么?如果需要添加ssl自签名证书的话,会存在什么样的风险呢?创新互联建站小编将为你详细解答。
创新互联建站主营临翔网站建设的网络公司,主营网站建设方案,app软件开发,临翔h5微信平台小程序开发搭建,临翔网站营销推广欢迎临翔等地区企业咨询ssl自签名证书是什么自签名证书是什么呢,其实很多人都不懂。不过这种证书是不可以注销的,如果被截取了,可以重新进行通讯。而且自签名证书是不能简单信任的,浏览器还会进行检查,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
ssl自签名证书也是SSL证书的一种,不过大部分的这类证书都是不安全的,存在一定问题。但是SSL协议也会存在一定的问题,因为相关的跟踪技术是不可以进行补漏和检测的。这种BUG也是有可能被截取的,所以也会存在问题,不一定是安全的。自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。这种证书一般是不安全的,不过会被一定的标准进行限制,但是为何要限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。6. 打开浏览器,在地址栏上输入“https://myserver/”,并按“Enter”键。您应该看到一个安全警告对话框,请求允许进入,并表明您已经添加了SSL certificate。
自签名SSL证书有哪些风险?自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书!
点评 :第1点和第2点都是由于自签证书不受浏览器信任,而网站告诉用户要信任而造成!所以,作为用户,千万不要继续浏览浏览器有类型如下警告的网站;而作为网站主人,千万不要因为部署了自签证书而让广大用户蒙受被欺诈网站所攻击的危险,小则丢失密码而为你增加找回密码的客服工作量,大则可能让用户银行账户不翼而飞,可能要赔偿用户的损失!
也许你或者你的系统集成商会说:这不是什么大不了的事,只要用户安装了我的根证书,下次就不会提示了。理论上是的,但是,由于用户有过要求点击信任证书的经历,再次遇到要求点击信任证书时一定会继续点信任而遭遇了上了黑客的当!即使你是在给用户安装USB Key管理软件时悄悄安装你的根证书,也是有问题的,自签证书无法保证证书的唯一性,你的自签根证书和用户证书一样有可能被黑客伪造。
不仅如此,除了以上两个大问题外,由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识,并没有跟踪最新的PKI技术发展,还存在其他重要安全问题。1024位RSA非对称密钥对已经变得不安全了,所以,美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法。微软已经要求所有受信任的根证书颁发机构必须于2010年12月31日之前升级其不安全的1024位根证书到2048位和停止颁发不安全的1024位用户证书,12 月 31 日之后会把不安全都所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除!
而目前几乎所有自签证书都是1024位,自签根证书也都是1024位,当然都是不安全的。还是那句话:由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导,根本就不知道1024位已经不安全了。自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱,就多发几年吧,而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。
也许你会问,为何所有Windows受信任的根证书有效期都是20年或30年?好问题!因为:一是根证书密钥生成后是离线锁保险柜的,并不像用户证书一样一直挂在网上;其二是根证书采用更高的密钥长度和更安全的专用硬件加密模块。
在上文中,创新互联建站小编已经详细罗列出来了有关ssl自签名证书如何添加以及添加ssl自签名证书时会遇到的风险详解,因此如果要添加ssl自签名证书的话,要注意规避以上问题哦。