售前咨询
技术支持
渠道合作

自签名SSL证书存在哪些安全隐患?

目前,有许多重要的公网可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。

为什么自签名SSL证书不安全? 

目前几乎所有自签证书都是1024位密钥,自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法,微软已经要求将所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除;谷歌chrome对自签名SSL证书发出安全警告,从而可能影响网站流量。

自签名SSL证书存在哪些安全风险?

一、自签证书最容易受到SSL中间人攻击

自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。

典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书!

 

二、自签证书最容易被假冒和伪造,而被欺诈网站所利用

所谓自签证书,就是自己做的证书,既然你可以自己做,那别人可以自己做,可以做成跟你的证书一模一样,就非常方便地伪造成为有一样证书的假冒网银网站了。

而使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一样),由于浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!

 

三、自签SSL证书还存在风险:

· 不受浏览器信任,会持续弹出安全警告,影响用户体验。

· 自签名SSL证书没有可访问的吊销列表。

· 支持超长有效期,时间越长越容易被破解。

 

为了网络系统安全,请千万不要使用自签的SSL证书,从而带来巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。推荐使用受信任的CA机构提供的免费且安全的SSL证书。数安时代GDCA通过WebTrust国际认证,可以提供免费的SSL证书,受IE、Firefox、Chrome等各大主流浏览器的信任,兼容性高达99%,不会弹出安全警告,用户体验非常好。数安时代的免费SSL证书2048位RSA加密密钥,128位-256位加密强度,安全性有保证,对于个人站点或者中小型企业站点来说是不错的选择!

如果是重要的网银系统、电子商务系统等,最好使用付费的企业级OV SSL证书或者增强型EV SSL证书,千万不要图便宜而使用不安全的自签名ssl证书!请登录数安时代GDCA官网了解产品详情并进行申请~

上一篇:

下一篇:

相关新闻