自簽名SSL證書的(of)安全隐患和(and)風險

自簽名SSL證書，是(yes)指不(No)受信任的(of)任意機構或個(indivual)人(people)，使用(use)工具自己簽發的(of)SSL證書。有一(one)些公司或者個(indivual)人(people)出(out)于(At)成本的(of)考慮，會選擇使用(use)自簽名SSL證書。一(one)旦使用(use)這(this)種随意簽發的(of)、不(No)受監督、信任的(of)證書，就很容易被黑客僞造用(use)來(Come)攻擊或者劫持站點流量。所以(by)，自簽名SSL證書是(yes)不(No)安全的(of)，存在(exist)較大(big)的(of)安全隐患。

 

 

 

任何網站安裝了(Got it)自簽名SSL證書都會存在(exist)很大(big)的(of)安全隐患和(and)風險。爲(for)了(Got it)讓大(big)家更好的(of)了(Got it)解它的(of)弊端，對這(this)些隐患和(and)風險做了(Got it)個(indivual)歸總，具體如下：

 

秘鑰已經不(No)安全

 

目前幾乎所有自簽證書都是(yes)1024位密鑰，自簽根證書也都是(yes)1024位。而1024位RSA非對稱密鑰對已經不(No)安全了(Got it)。美國(country)國(country)家标準技術研究院( NIST )要(want)求停止使用(use)不(No)安全的(of)1024位非對稱加密算法，微軟已經要(want)求将所有 1024 位根證書從 Windows 受信任的(of)根證書頒發機構列表中删除；谷歌chrome對自簽名SSL證書發出(out)安全警告，從而可能影響網站流量。

 

 

 

證書不(No)受浏覽器信任，易遭受攻擊

 

自簽名SSL證書是(yes)不(No)受浏覽器信任的(of)，即使網站安裝了(Got it)自簽名SSL證書，當用(use)戶訪問時(hour)浏覽器還是(yes)會持續彈出(out)警告，讓用(use)戶體驗度大(big)大(big)降低。因它不(No)是(yes)由CA進行驗證簽發的(of)，所以(by)CA是(yes)無法識别簽名者并且不(No)會信任它，因此私鑰也形同虛設，網站的(of)安全性會大(big)大(big)降低，從而給攻擊者可乘之機。

 

安裝容易，吊銷難

 

自簽名SSL證書是(yes)沒有可訪問的(of)吊銷列表的(of)，所以(by)它不(No)具備讓浏覽器實時(hour)查驗證書的(of)狀态，一(one)旦證書丢失或者被盜而無法吊銷，就很有可能被用(use)于(At)非法用(use)途從而讓用(use)戶蒙受損失。同時(hour)，浏覽器還會發出(out)“吊銷列表不(No)可用(use)，是(yes)否繼續？”的(of)警告，不(No)僅降低了(Got it)網頁的(of)浏覽速度，還大(big)大(big)降低了(Got it)訪問者對網站的(of)信任度。

 

易被“釣魚”

 

自簽名SSL證書你自己可以(by)簽發，那麽同樣别人(people)也可以(by)簽發。黑客正好利用(use)其随意簽發性，分分鍾就能僞造出(out)一(one)張一(one)模一(one)樣的(of)自簽證書來(Come)安裝在(exist)釣魚網站上(superior)，讓訪客們(them)分不(No)清孰真孰假。

 

 

 

超長有效期，時(hour)間越長越容易被破解

 

自簽名SSL證書的(of)有效期特别長，短則幾年，長則幾十年，想簽發多少年就多少年。而由受信任的(of)CA機構簽發的(of)SSL證書有效期不(No)會超過2年，因爲(for)時(hour)間越長，就越有可能被黑客破解。所以(by)超長有效期是(yes)它的(of)一(one)個(indivual)弊端。

 

 

 

爲(for)了(Got it)網站的(of)安全，請停止使用(use)自簽名SSL證書，推薦使用(use)受信任的(of)CA機構提供的(of)免費且安全的(of)SSL證書。如果是(yes)重要(want)的(of)網銀系統、電子商務系統等，最好使用(use)付費的(of)企業級OV SSL證書或者增強型EV SSL證書，千萬不(No)要(want)圖便宜而使用(use)不(No)安全的(of)自簽名ssl證書！