目前,许多可通过公网访问的重要网站系统正在使用自签名的SSL证书,即由自建的PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书。这绝对是一个重大的决策错误,弊大于利。自签证书存在严重的安全漏洞,极易受到攻击。
为什么自签名SSL证书不安全?
目前,几乎所有自签证书都是1024位密钥,自签根证书也都是1024位。1024位RSA非对称密钥对不再安全。美国国家标准技术研究院(NIST)要求停止使用不安全的1024位非对称加密算法。微软已要求从Windows受信任的根证书颁发机构列表中删除所有1024位根证书。谷歌Chrome对自签名SSL证书发出安全警告,这可能会影响网站流量。
自签名SSL证书有哪些安全风险?
一、自签名SSL证书最容易受到SSL中间人的攻击
自签证书是浏览器不信任的证书。当用户访问自签名证书时,浏览器将警告用户该证书不可信,并且需要人工确认是否信任该证书。所有使用自签证书的网站都明确地告诉用户这种情况。用户必须点击信任并继续浏览!这为中间人攻击创造了机会。
典型的SSL中间人攻击是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并通过制作假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署了支持浏览器的受信任的SSL证书,当浏览器收到假的证书时会有安全警告,用户将发现不对并放弃连接,因此不会受到攻击。但是,如果服务器使用自签名证书,用户会认为网站要求他继续点击信任从而信错了攻击者的假证书,用户的机密信息会被攻击者获取,如网上银行密码,这是非常危险的。因此,重要的网银系统绝不能使用自签名的SSL证书!
二、自签证书最容易被假冒和伪造,而被诈骗网站所利用
所谓的自签名证书就是你自己制作的证书。既然你可以自己做,那么其他人也可以自己做,并且做成和你的证书一模一样,这样的话用同样的证书伪造一个假的网银网站就非常方便了。
然而使用支持浏览器的SSL证书不会有被伪造的问题。颁发给用户的证书是世界上唯一的可信的证书,不能伪造。一旦诈骗网站使用伪造的证书(证书信息是相同的),由于浏览器有一套可靠的验证机制,它会自动识别伪造的证书,并警告用户证书是不可信的,并可能试图欺骗你或拦截你发送到服务器的数据!
三、自签名SSL证书存在风险:
1.浏览器不信任,安全警告将持续弹出,影响用户体验。
2.自签名的SSL证书没有可访问的吊销列表。
3.支持超长有效期,时间越长,就越容易被破解。
为了网络系统的安全,请不要使用自签名的SSL证书,这会带来巨大的安全风险和安全隐患,特别是重要的网银系统、网上证券系统和电子商务系统。建议使用由可信的CA机构颁发的安全SSL证书。
