标准SSL证书由受信任的证书颁发机构(CA)颁发和验证,此类证书使用信任链,其中每个证书都由更可靠的证书签名和信任,此链一直延伸到根证书。SSL证书一般需要付费使用,以致很多没有安全预算的企业选择在网站上使用免费的自签名证书。那么自签名SSL证书是什么呢?自签名SSL证书安全吗?
一、自签名SSL证书介绍
谷歌已宣布自签名SSL证书不会被视为HTTPS信号。2014年8月,谷歌宣布使用HTTPS / SSL的网站将获得SERP的排名提升,但谷歌调查自签名证书由于其较低的安全性和信任因素而不值得作为HTTPS排名信号。最后,他们决定从HTTPS排名信号中标记它。
自签名SSL证书是使用openssl等工具创建的证书,而不是从第三方证书颁发机构(CA)获取的,它不使用信任链。一般自签名SSL证书适合用于测试目的和内部LAN服务,通常不建议在公众可访问的任何网站上使用自签名SSL证书。
二、自签名SSL证书存在安全隐患
在公钥加密基础设施(PKI)中,证书颁发机构(CA)必须信任证书签名者以保护私钥并通过互联网在线传输信息。但是在自签名SSL证书的情况下,CA无法识别签名者并且不会信任它,因此私钥将不再保持安全并且也会受到损害,这助长了网络犯罪分子攻击网站并窃取信息的行为。
⌈ 自签名SSL证书存在的缺点 ⌋:
· 应用程序/操作系统不信任自签名证书,这可能会导致身份验证错误等。
· 自签名证书可使用低哈希和密码技术。因此,自签名证书的安全级别可能不满足当前的安全策略等。
· 不支持高级PKI(公钥基础结构)功能,例如在线检查撤销列表等。
· 自签证书的有效期通常为1年,这些证书需要每年更新/更换,这是一个很难维护的问题。
⌈ 在公共站点上使用自签名SSL证书的风险 ⌋:
与自签名SSL证书相关联的安全警告会驱逐潜在客户,因为担心网站无法保护其凭据,从而使得品牌声誉和客户信任都受到损害。
(自签名SSL证书的安全警告示例)
⌈ 在内部网站上使用自签名SSL证书的风险 ⌋:
在公共站点上使用自签名证书的危险很明显,在内部使用它们同样存在风险。内部站点(例如员工门户)上的自签名证书仍会导致浏览器警告。许多组织建议员工忽略警告,因为他们知道内部站点是安全的,但这可能会鼓励危险的公共浏览行为。习惯于忽略内部站点警告的员工可能倾向于忽略公共站点上的警告,使他们和您的组织容易受到恶意软件和其他威胁的攻击。
如果在电子商务网站上安装了自签名SSL证书,用户将感受到数据和信息被盗的风险并退出购物,这也会影响在线业务和所有者的声誉。收集用户敏感信息和个人信息的网站不应安装自签名SSL证书。银行、电子商务、社交媒体、医疗保健、政府部门就是其中之一。
三、选择数安时代的SSL证书
就其本质而言,自签名证书比CA颁发的证书更容易伪造。网站所有者应该避免自签名证书的缺点和隐患,而是从受信任的CA购买标准SSL证书,这样就可以有效保障网站安全,消除可怕的浏览器安全警告,保护品牌声誉和客户信任,以及鼓励用户和访客的购买行为。
数安时代提供GDCA、GlobalSign、Symantec、GeoTrust等品牌的全系列DV/OV/EV SSL证书,以满足每个组织机构对安全的需求。同时数安时代还提供免费SSL证书,有效期三个月,可免费续签,相当于永久免费,这对于预算较少的广大中小企业来说是性价比非常高的选择。
数安时代GDCA是国内顶级的证书颁发机构,是广东省数字证书认证中心、广东省电子政务认证中心、广东省密钥管理中心的运作实体,在2005年首批获得工信部颁发的《电子认证服务许可证》,拥有20多项核心资质,2014年通过了WEBTRUST国际认证,具备了国际化的电子认证服务能力。数安时代已入根到Chrome、Firefox、IE、360等浏览器系统中,浏览器兼容性99.9%,证书采用SHA256签名算法,证书密钥长度2048-4096位,自适应128-256位加密,安全可靠。
此外,数安时代GDCA提供一系列强大的增值功能,包括免费的安装部署服务,免费重新颁发服务,免费咨询服务等等,7x24h解决你的安全问题。欢迎登陆数安时代官网咨询并申请SSL证书。