七个理由告诉你为什么不能选择自签SSL证书？

随着互联网各类安全事件的频发，越来越多的人都开始选择为自己的网站部署证书，但由于第三方权威机构颁发的证书基本都是收费证书，因为成本原因有些人会选择部署自签SSL证书，那么自签证书真的比较好么？接下来的七个理由告诉你为什么不能选择自签SSL证书？
自签SSL证书，即自建PKI系统颁发的SSL证书，而不是部署支持浏览器的SSL证书，自签证书普遍存在严重的安全漏洞，极易受到攻击。部署自签SSL证书可能会引起以下几个不良影响：

一： 自签证书最容易被假冒和伪造，而被欺诈网站所利用。

所谓自签证书也意味着你可以做，那别人可以做，会让有心人非常方便地伪造成为有一样证书的假冒网站，从而被欺诈网站所利用，产生不必要的损失。

二： 自签证书最容易受到SSL中间人攻击。
自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况，用户必须点信任并继续浏览！这给中间人攻击造成了可之机。
典型的SSL中间人攻击是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并与做一个假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书，则浏览器在收到假的证书时会有安全警告，用户会发觉不对而放弃连接，从而不会被受到攻击。但是，如果服务器使用的是自签证书，用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书，这样用户的机密信息被攻击者得到，如网银密码等，则非常危险，所以，重要的网银系统不能用自签SSL证书！

三： 自签证书支持不安全的SSL通信重新协商机制。
经我公司检测，几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞，这是SSL协议的安全漏洞，由于自签证书系统并没有跟踪的技术而没有及时补漏！此漏洞会被黑客利用而截获用户的加密信息，如银行账户和密码等，非常危险，一定要及时修补。

四：自签证书支持非常不安全的SSL V2.0协议。
这也是部署自签SSL证书服务器中普遍存在的问题，因为SSL v2.0协议是最早出台的协议，存在许多安全漏洞问题，目前各种新版浏览器都已经不支持不安全的SSL v2.0协议。而由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导，所以，一般都没有关闭不安全的SSL v2.0协议。

五： 自签证书没有可访问的吊销列表。
这也是所有自签SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟搞定，但真正让一个SSL证书发挥作用不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必要功能是证书中带有浏览器可访问的证书吊销列表，如果没有有效的吊销列表，则如果证书丢失或被盗而无法吊销，极有可能被用于非法用途而让用户蒙受损失。同时，浏览器在访问时会有安全警告：吊销列表不可用，是否继续？，并且会大大延长浏览器的处理时间，影响网页的浏览速度。

六：自签证书使用不安全的1024位非对称密钥对。
1024位RSA非对称密钥对已经变得不安全了，所以，美国国家标准技术研究院( NIST)要求停止使用不安全的1024位非对称加密算法。微软已经要求所有受信任的根证书颁发机构必须升级其不安全的1024位根证书到2048位和停止颁发不安全的1024位用户证书。而目前几乎所有自签证书都是1024位，自签根证书也都是1024位，当然都是不安全的。还是那句话：由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导，根本不知道1024位已经不安全了。

七： 自签证书证书有效期太长。
自签证书中还有一个普遍的问题是证书有效期太长，短则5年，长则20年、30年的都有，并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱，多发几年吧，而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是：有效期越长，越有可能被黑客破解，因为他有足够长的时间(20年)来破解你的加密。
也许你会问，为何所有Windows受信任的根证书有效期都是20年或30年？好问题！因为：一是根证书密钥生成后是离线锁保险柜的，并不像用户证书一样一直挂在网上；其二是根证书采用更高的密钥长度和更安全的专用硬件加密模块。

以上是自签证书可能带来的一系列的不良影响，为了您网站的安全您可选择GDCA品牌全线支持4096-2048位加密长度的 SSL证书！

GDCA致力于网络信息安全，已通过WebTrust 的国际认证，是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议，并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

GDCA一直以“构建网络信任体系，服务现代数字生活”的宗旨，致力于提供全球化的数字证书认证服务。其自主品牌——信鉴易 TrustAUTH SSL证书：包括 OVSSL、EVSSL、代码签名证书等。为涉足互联网的企业打造更安全的生态环境，建立更具公信力的企业网站形象。