ssl自簽名證書是什么添加ssl自簽名證書存在什么風(fēng)險

說起SSL證書中，其實(shí)是分有很多種的，除了CA的SSL和一些域名類型的SSL證書之外，還有一種ssl自簽名證書，那么ssl自簽名證書是什么？如果需要添加ssl自簽名證書的話，會存在什么樣的風(fēng)險呢？創(chuàng)新互聯(lián)建站小編將為你詳細(xì)解答。

創(chuàng)新互聯(lián)建站主營臨翔網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,app軟件開發(fā),臨翔h5微信平臺小程序開發(fā)搭建,臨翔網(wǎng)站營銷推廣歡迎臨翔等地區(qū)企業(yè)咨詢ssl自簽名證書是什么

自簽名證書是什么呢，其實(shí)很多人都不懂。不過這種證書是不可以注銷的，如果被截取了，可以重新進(jìn)行通訊。而且自簽名證書是不能簡單信任的，瀏覽器還會進(jìn)行檢查，需要人工確認(rèn)是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況，用戶必須點(diǎn)信任并繼續(xù)瀏覽！這就給中間人攻擊造成了可之機(jī)。

ssl自簽名證書也是SSL證書的一種，不過大部分的這類證書都是不安全的，存在一定問題。但是SSL協(xié)議也會存在一定的問題，因?yàn)橄嚓P(guān)的跟蹤技術(shù)是不可以進(jìn)行補(bǔ)漏和檢測的。這種BUG也是有可能被截取的，所以也會存在問題，不一定是安全的。自簽證書中還有一個普遍的問題是證書有效期太長，短則5年，長則20年、30年的都有，并且還都是使用不安全1024位加密算法。這種證書一般是不安全的，不過會被一定的標(biāo)準(zhǔn)進(jìn)行限制，但是為何要限制證書有效期的基本原理是：有效期越長，就越有可能被黑客破解，因?yàn)樗凶銐蜷L的時間(20年)來破解你的加密。

如何在計算機(jī)上添加自簽名SSL證書
1. 將Internet信息服務(wù)(IIS)安裝在您的電腦上。然后點(diǎn)擊“開始”，“控制面板”，“程序”以及“將Windows功能打開或關(guān)閉”。請確保“Internet信息服務(wù)”的左邊小框是被勾選或被陰影。當(dāng)安裝完成后，點(diǎn)擊“確定”
2. 在Windows 桌面上點(diǎn)擊“開始”，然后再搜索框中輸入“inetmgr”。按“Enter”以打開互聯(lián)網(wǎng)信息服務(wù)管理工具。
3. 查找您要管理的工具。在機(jī)器功能創(chuàng)個雙擊“服務(wù)器證書”
4. 在右側(cè)的操作窗格中點(diǎn)擊“創(chuàng)建自簽名證書”
5. 在“詳述證書友好名稱”框中輸入您新security certificate的“友好名稱”，然后點(diǎn)擊“確定”

6. 打開瀏覽器，在地址欄上輸入“https://myserver/”，并按“Enter”鍵。您應(yīng)該看到一個安全警告對話框，請求允許進(jìn)入，并表明您已經(jīng)添加了SSL certificate。

自簽名SSL證書有哪些風(fēng)險?
1. 自簽SSL證書最容易被假冒和偽造，而被欺詐網(wǎng)站所利用
所謂自簽證書，就是自己做的證書，既然你可以自己做，那別人可以自己做，可以做成跟你的證書一模一樣，就非常方便地偽造成為有一樣證書的假冒網(wǎng)銀網(wǎng)站了。
而使用支持瀏覽器的SSL證書就不會有被偽造的問題，頒發(fā)給用戶的證書是全球唯一的可以信任的證書，是不可以偽造的，一旦欺詐網(wǎng)站使用偽造證書(證書信息一樣)，由于瀏覽器有一套可靠的驗(yàn)證機(jī)制，會自動識別出偽造證書而警告用戶此證書不受信任，可能試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)!
2. 自簽SSL證書最容易受到SSL中間人攻擊

自簽證書是不會被瀏覽器所信任的證書，用戶在訪問自簽證書時，瀏覽器會警告用戶此證書不受信任，需要人工確認(rèn)是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況，用戶必須點(diǎn)信任并繼續(xù)瀏覽!這就給中間人攻擊造成了可之機(jī)。

典型的SSL中間人攻擊就是中間人與用戶或服務(wù)器在同一個局域網(wǎng)，中間人可以截獲用戶的數(shù)據(jù)包，包括SSL數(shù)據(jù)包，并與做一個假的服務(wù)器SSL證書與用戶通信，從而截獲用戶輸入的機(jī)密信息。如果服務(wù)器部署的支持瀏覽器的可信的SSL證書，則瀏覽器在收到假的證書時會有安全警告，用戶會發(fā)覺不對而放棄連接，從而不會被受到攻擊。但是，如果服務(wù)器使用的是自簽證書，用戶會以為是網(wǎng)站又要他點(diǎn)信任而麻木地點(diǎn)信任了攻擊者的假證書，這樣用戶的機(jī)密信息就被攻擊者得到，如網(wǎng)銀密碼等，則非常危險，所以，重要的網(wǎng)銀系統(tǒng)絕對不能用自簽SSL證書!

點(diǎn)評 ：第1點(diǎn)和第2點(diǎn)都是由于自簽證書不受瀏覽器信任，而網(wǎng)站告訴用戶要信任而造成!所以，作為用戶，千萬不要繼續(xù)瀏覽瀏覽器有類型如下警告的網(wǎng)站;而作為網(wǎng)站主人，千萬不要因?yàn)椴渴鹆俗院炞C書而讓廣大用戶蒙受被欺詐網(wǎng)站所攻擊的危險，小則丟失密碼而為你增加找回密碼的客服工作量，大則可能讓用戶銀行賬戶不翼而飛，可能要賠償用戶的損失!

也許你或者你的系統(tǒng)集成商會說：這不是什么大不了的事，只要用戶安裝了我的根證書，下次就不會提示了。理論上是的，但是，由于用戶有過要求點(diǎn)擊信任證書的經(jīng)歷，再次遇到要求點(diǎn)擊信任證書時一定會繼續(xù)點(diǎn)信任而遭遇了上了黑客的當(dāng)!

即使你是在給用戶安裝USB Key管理軟件時悄悄安裝你的根證書，也是有問題的，自簽證書無法保證證書的唯一性，你的自簽根證書和用戶證書一樣有可能被黑客偽造。

不僅如此，除了以上兩個大問題外，由于用戶自己開發(fā)的證書頒發(fā)系統(tǒng)或使用其他公司的證書頒發(fā)系統(tǒng)并非不具有完備的PKI專業(yè)知識，并沒有跟蹤最新的PKI技術(shù)發(fā)展，還存在其他重要安全問題。

3. 自簽SSL證書支持不安全的SSL通信重新協(xié)商機(jī)制
經(jīng)我公司專家檢測，幾乎所有使用自簽SSL證書的服務(wù)器都存在不安全的SSL通信重新協(xié)商安全漏洞，這是SSL協(xié)議的安全漏洞，由于自簽證書系統(tǒng)并沒有跟蹤最新的技術(shù)而沒有及時補(bǔ)漏!此漏洞會被黑客利用而截獲用戶的加密信息，如銀行賬戶和密碼等，非常危險，一定要及時修補(bǔ)。 請參考文章《SSL密鑰重新協(xié)商機(jī)制有大安全漏洞，急需用戶升級補(bǔ)漏》
4. 自簽證書支持非常不安全的SSL V2.0協(xié)議
這也是部署自簽SSL證書服務(wù)器中普遍存在的問題，因?yàn)镾SL v2.0協(xié)議是最早出臺的協(xié)議，存在許多安全漏洞問題，目前 各種新版瀏覽器都已經(jīng)不支持不安全的SSL v2.0協(xié)議 。而由于部署自簽SSL證書而無法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo)，所以，一般都沒有關(guān)閉不安全的SSL v2.0協(xié)議。
5. 自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書并不難，使用OpenSSL幾分鐘就搞定，但真正讓一個SSL證書發(fā)揮作用就不是那么輕松的事情了。要保證SSL證書正常工作，其中一個必要功能是證書中帶有瀏覽器可訪問的證書吊銷列表，如果沒有有效的吊銷列表，則如果證書丟失或被盜而無法吊銷，就極有可能被用于非法用途而讓用戶蒙受損失。同時，瀏覽器在訪問時會有安全警告：吊銷列表不可用，是否繼續(xù)?，并且會大大延長瀏覽器的處理時間，影響網(wǎng)頁的流量速度。請參考 《什么是證書吊銷列表(CRL)?》
6. 自簽SSL證書使用不安全的1024位非對稱密鑰對

1024位RSA非對稱密鑰對已經(jīng)變得不安全了，所以，美國國家標(biāo)準(zhǔn)技術(shù)研究院( NIST )要求停止使用不安全的1024位非對稱加密算法。微軟已經(jīng)要求所有受信任的根證書頒發(fā)機(jī)構(gòu)必須于2010年12月31日之前升級其不安全的1024位根證書到2048位和停止頒發(fā)不安全的1024位用戶證書，12 月 31 日之后會把不安全都所有 1024 位根證書從 Windows 受信任的根證書頒發(fā)機(jī)構(gòu)列表中刪除!

而目前幾乎所有自簽證書都是1024位，自簽根證書也都是1024位，當(dāng)然都是不安全的。還是那句話：由于部署自簽SSL證書而無法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo)，根本就不知道1024位已經(jīng)不安全了。
7. 自簽SSL證書證書有效期太長

自簽證書中還有一個普遍的問題是證書有效期太長，短則5年，長則20年、30年的都有，并且還都是使用不安全1024位加密算法?？赡苁亲院炞C書制作時反正又不要錢，就多發(fā)幾年吧，而根本不知道PKI技術(shù)標(biāo)準(zhǔn)中為何要限制證書有效期的基本原理是：有效期越長，就越有可能被黑客破解，因?yàn)樗凶銐蜷L的時間(20年)來破解你的加密。

也許你會問，為何所有Windows受信任的根證書有效期都是20年或30年?好問題!因?yàn)椋阂皇歉C書密鑰生成后是離線鎖保險柜的，并不像用戶證書一樣一直掛在網(wǎng)上;其二是根證書采用更高的密鑰長度和更安全的專用硬件加密模塊。

在上文中，創(chuàng)新互聯(lián)建站小編已經(jīng)詳細(xì)羅列出來了有關(guān)ssl自簽名證書如何添加以及添加ssl自簽名證書時會遇到的風(fēng)險詳解，因此如果要添加ssl自簽名證書的話，要注意規(guī)避以上問題哦。

網(wǎng)站欄目：ssl自簽名證書是什么添加ssl自簽名證書存在什么風(fēng)險
標(biāo)題網(wǎng)址：http://muchs.cn/article6/chjdig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站、定制網(wǎng)站、Google、服務(wù)器托管、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)