北京天威诚信告诉您使用自签SSL证书有什么风险?

发布时间:2017-03-06 09:13:00
  所谓自签SSL证书,是指不受信任的任意机构或个人,使用工具自己签发的SSL证书。自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器和操作系统信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多网站为了节约成本,采用自签名SSL证书,其实是给自己的网站埋下了一颗定时炸弹,随时可能被黑客利用。


网站使用自签SSL证书存在极大的风险: 

使用自签SSL证书无法识别网站身份

  自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!

  而权威CA机构受国际标准组织审计监督,不可随意签发证书,必须严格认证申请者身份才能签发全球唯一的证书,不会出现被伪造的问题。正规SSL证书支持所有浏览器,由浏览器内置的可靠验证机制,自动识别SSL证书的真实信息和证书状态,如果出现证书绑定域名与实际域名不符、证书已吊销或已过期等异常情况,浏览器会自动发出警告提醒用户“此网站安全证书存在问题”,假冒网站无处遁形!

使用自签SSL证书的网站,浏览器会持续弹出警告

  自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。

自签SSL证书最容易受到SSL中间人攻击

  用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。

  典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。当网站被假的SSL证书替换时,浏览器会警告用户此证书不受信任,需要用户确认是否信任此证书,用户习惯性点击“继续浏览”,中间人攻击轻而易举的实现了。
  
自签SSL证书没有可访问的吊销列表

  这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。

自签SSL证书使用1024位RSA公钥算法

  1024位RSA公钥算法已经被业界认定非常不安全了,美国国家标准技术研究院( NIST )要求停止使用不安全的1024位RSA公钥算法。微软已经要求所有受信任的根证书颁发机构必须于2010年12月31日之前将1024位根证书升级到2048位,停止颁发不安全的1024位用户证书,12 月 31 日之后把所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除!

  而目前几乎所有自签证书都是1024位,自签根证书也都是1024位。由于网站部署自签SSL证书而无法获得专业SSL证书提供商的专业指导,根本就不知道1024位已经不安全了。

自签SSL证书支持超长有效期,时间越长越容易被破解

  自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年甚至30年。因为自签证书制作无成本无监管,想签发几年就签发几年,而根本不知道PKI技术标准限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。

自签证书支持不安全的SSL通信重新协商机制及不安全的SSL协议和加密算法

  几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞。自签证书系统没有跟随最新PKI技术及时修补漏洞,也不会指导用户关闭不安全的SSL协议和加密算法,没有任何售后服务和技术指导可言,一旦新型漏洞爆发没有得到及时指导修复,就会被黑客利用,进而截获用户的加密信息,如银行账户和密码等。

  天威诚信是全球信任的CA机构,服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。

最新发布
1
天威21周年庆大促来袭|SSL证书限时特惠,给礼更给利!
2
SSL证书过期?后果很严重!
3
疫情防控常态化,企业信息安全将同步迎来“大考”
4
SM2算法对比RSA算法,到底强在哪?
5
免费or付费?人类高质量SSL证书怎么选!
6
国务院颁发信息安全条例 国密SM2算法势在必行
7
东京奥运会被钓鱼网站攻击,如何破局?
8
Google再次发声,浏览器安全措施再度升级
9
天威诚信小课堂:SSL 证书使用过程中的常见问题及解决方法
10
打开网站显示您与此网站建立的连接不安全怎么办?
相关推荐
疫情防控常态化,企业信息安全将同步迎来“大考”
SM2算法对比RSA算法,到底强在哪?
SSL证书过期?后果很严重!
面试被问HTTPS结果卡壳?笑死,这你都不懂
天威诚信提醒您注意防范互联网流量劫持!
东京奥运会被钓鱼网站攻击,如何破局?
免费or付费?人类高质量SSL证书怎么选!
年中大促来袭|SSL证书618盛惠热浪即将开启
美国燃油管道竟被黑客封锁,吓!到底怎么才能确保数据安全?
OpenSSL项目发布1.1.1k版本来修复两个高严重性缺陷