为什么使用自签的SSL证书不安全
如今还有很多可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。
主要问题有:
1. 自签SSL证书很容易被假冒和伪造,被欺诈钓鱼网站所利用 自签证书,就是自己做的证书,既然你可以自己做,那别人可以做,可以做成与你一模一样的证书,很容易的伪造一张证书然后就可以做一个与你一样的网站,同样有证书。 而 使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一 样),浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
2. 自签证书最容易受到SSL中间人攻击 自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可乘之机。
典 型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通 信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从 而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得 到,如网银密码等,非常危险,所以,重要的网银系统绝对不能用自签SSL证书!
小结:第1点和第2点都是由于 自签证书不受浏览器信任,网站却要告诉用户要信任而造成!所以,作为用户,当遇到警告时千万不要继续浏览浏览器;而作为网站主人,千万不要因为部署了自签 证书而让广大用户蒙受被欺诈网站所攻击的危险,小则丢失密码而增加你为客户找回密码的客服工作量,大则可能让用户银行账户不翼而飞,可能要赔偿用户的经济 损失!
也许你或者你的系统集成商会说:这不是什么大不了的事,只要用户安装了我的根证书,下次就不会提示了。理论上是的,但是,由于用户有过要求点击信任证书的经历,再次遇到要求点击信任证书时一定会继续点信任而遭遇了上了黑客的当!
即使你是在给用户安装USB Key管理软件时悄悄安装你的根证书,也是有问题的,自签证书无法保证证书的唯一性,你的自签根证书和用户证书一样有可能被黑客伪造。 不仅如此,除了以上两个大问题外,由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识,并没有跟踪最新的PKI技术发展,还存在其他重要安全问题。
3. 自签证书支持不安全的SSL通信重新协商机制 据中国数字证书CHINASSL安全专家检测,几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信,这是SSL协议的安全漏洞,由于自签证书系统并没有跟踪最新的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息。
4. 自签证书没有可访问的吊销列表 这 也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是简单的事情。要 保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,就极有可 能被用于非法用途而让用户蒙受损失。同时,浏览器在访问时会有安全警告:吊销列表不可用,是否继续?并且会大大延长浏览器的处理时间,影响网页的流量速度。
Google Chrome 66 Beta将于3月15日,即本周四发布。 虽然谷歌和赛门铁...
代码签名证书简介及其许多好处 今天,几乎所有东西都是电脑。...
什么是API API是Application Programming Interface的简写。 实现了两个或...
全面的日志管理和分析策略是关键任务,使组织能够理解运营...
常见的 SSL 错误解决办法 为了保障用户的隐私信息安全,减少信...
从昨天跟大家分享金网科技原创手把手Docker java web 应用hellowor...
任何运行思科支持的虚拟专用网络(VPN)的人都可能需要安装更...
PFS概览 众所周知,若服务器的私钥泄漏,任何可以访问私钥的人...
对最常见的开源协议做下总结分享 Mozilla Public License MPLLicense,允...
最后甚至会从Chrome的UI中取消挂锁图标。。。 谷歌爸爸在上周四...