都知道,SSL证书是需要专业权威的证书颁发机构(CA)来生成的,而这往往也需要一定的费用。所以有部分人会问,可以自己生成SSL证书吗?答案是可以的,自己生成SSL证书也叫自签名SSL证书。那么,如何自己生成SSL证书?这样的证书安全吗?
什么是证书?
每一个成年人都有一张身份证,这个身份证就是一张证书,以用来证明每个公民的身份。身份证里有一块迷你芯片,存储着身份证的信息,为了防止被篡改,通常存储的内容有写保护措施。换句话说,身份证里的信息只能读取不能写入。
为了防止伪造,可以使用公安系统的私钥,对身份证信息进行签名。公民的身份可以让公安局来证明,那公安局的身份谁来证明?
公安局使用自签名证书,那什么是自签名证书?
顾名思义,就是自己证明自己的证书,用自己的私钥给自己的证书签名。逻辑不对啊,自签名证书,怎么证明他就是公安局的呢?公安局的身份无法证明,公安局的身份基于信任!你不信不要紧,只要银行信任他就行了。
银行如何信任公安局的自签名证书?
只要预先安装在银行系统的电脑里,准确地说,把公安局的自签名证书复制到电脑的证书仓库里,就是信任公安局的自签名证书了。
自签名证书里都有啥?
如图所示,这个就是自签名证书,证书的颁发者与证书的使用者相同,除了自签名部分是私钥加密的,其它部分全部为明文,包括公钥也是明文。
当柜员拿到你的身份证,通过读卡器读出芯片中的公安局的签名(公安局私钥加密),然后根据到证书仓库里搜索,找到公安局的自签名证书,如上图所示,用明文的公钥尝试解密签名,解得开,证明这张身份证确实是公安局颁发的,可以继续读取身份证的其它信息。解不开,说明是伪造的。
读者只要将上文里的公安局用CA替换掉,就可以用这个故事来尝试理解目前互联网的数字证书的认证原理。
什么是CA?
CA就是类似公安局的证书颁发机构,他们的身份已经被操作系统信任了,并安装在证书的仓库里。
什么是根证书?
CA通常使用自签名证书,被操作系统信任了,他们就是根证书,因为他们是证书链的最顶端,其它的二级证书、三级证书,都是他们的孩子、孙子,所以这些自签名证书称自己为根(Root)证书,是非常形象的。
三级证书由二级证书机构颁发,二级证书由根证书颁发,根证书由操作系统信任,这个就是数字证书的信任链条。
浏览器没有信任证书?
这个说法不是很恰当,准确的说,是网站的自签名证书没有复制到浏览器所在电脑的数字证书仓库里。当服务器将自己的自签名证书提交给浏览器审查时,浏览器无法在仓库里搜索到,所以浏览器无法校验对方的证书是否真实有效。
当无法校验对方证书(Certificate Verify)时,浏览器发送Alert报文报错(Fatal Error),致命性的错误,然后连接断开。
自己生成SSL证书安全吗?
实际上不建议大家使用自己生成的SSL证书,因为自己生成的SSL证书不安全:
1. 自己生成SSL证书使用的是1024位 RSA 密钥,它是不安全的,各大
浏览器均要求停止使用不安全的1024位加密算法;
2. 访问者的连接可能被劫持,黑客可查看所有发送的数据,盗取机密信息; 3. 自己生成SSL证书会导致浏览器发出安全警告,使得潜在客户担心该网
站不安全,品牌信誉和客户信任都受到损害; 4. 不能像受信任证书一样被撤销。
网站如何使用自签名证书?
一些银行早期曾使用过自签名证书,需要用户访问他们的http网站,先行下载并安装自签名证书,相当于信任了这些自签名的证书,然后就可以通过https访问网银了。
随意安装自签名的证书的安全风险大,一个机构如果将自己的根证书(自签名证书)潜伏在用户证书仓库里,随后颁发任何虚假证书,浏览器都会相信并与之建立安全加密通信,而用户压根觉察不到任何异常,这是很危险的!
选择权威受信任的SSL证书
大多数人都信任权威签名的SSL证书,并且不会在一个没有HTTPS 的网站上购物、下单或进行敏感操作,所以如果你的网站涉及信息收集或者商品销售,建议你购买正规的SSL证书。这是做生意和从事网上销售的成本的一部分。
当然如果你没有预算的话,可以去申请免费的SSL证书,但是一定要找权威的CA机构去申请,安全性和售后服务才有保障。
领取优惠
提交成功!