说起SSLssl/' target='_blank'>证书中,其实是分有很多种的,除了CA的SSL和一些类型的SSL证书之外,还有一种自签名证书,那么ssl自签名证书是什么?如果需要添加ssl自签名证书的话,会存在什么样的风险呢?小编将为你详细解答。
自签名证书是什么呢,其实很多人都不懂。不过这种证书是不可以注销的,如果被截取了,可以重新进行通讯。而且自签名证书是不能简单信任的,浏览器还会进行检查,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
6. 打开浏览器,在地址栏上输入“https://www.56dr.com/ certificate。
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书!
点评 :第1点和第2点都是由于自签证书不受浏览器信任,而网站告诉用户要信任而造成!所以,作为用户,千万不要继续浏览浏览器有类型如下警告的网站;而作为网站主人,千万不要因为部署了自签证书而让广大用户蒙受被欺诈网站所攻击的危险,小则丢失密码而为你增加找回密码的客服工作量,大则可能让用户银行账户不翼而飞,可能要赔偿用户的损失!
即使你是在给用户安装USB Key管理软件时悄悄安装你的根证书,也是有问题的,自签证书无法保证证书的唯一性,你的自签根证书和用户证书一样有可能被黑客伪造。
1024位RSA非对称密钥对已经变得不安全了,所以,美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法。微软已经要求所有受信任的根证书颁发机构必须于2010年12月31日之前升级其不安全的1024位根证书到2048位和停止颁发不安全的1024位用户证书,12 月 31 日之后会把不安全都所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除!
自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱,就多发几年吧,而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。
也许你会问,为何所有Windows受信任的根证书有效期都是20年或30年?好问题!因为:一是根证书密钥生成后是离线锁保险柜的,并不像用户证书一样一直挂在网上;其二是根证书采用更高的密钥长度和更安全的专用硬件加密模块。
来源链接:https://www.xinnet.com/knowledge/1618812358.html
本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
免责声明:本站发布的内容(图片、视频和文字)以原创、来自本网站内容采集于网络互联网转载等其它媒体和分享为主,内容观点不代表本网站立场,如侵犯了原作者的版权,请告知一经查实,将立刻删除涉嫌侵权内容,联系我们QQ:712375056,同时欢迎投稿传递力量。
Copyright © 2009-2022 56dr.com. All Rights Reserved. 特网科技 特网云 版权所有 特网科技 粤ICP备16109289号
域名注册服务机构:阿里云计算有限公司(万网) 域名服务机构:烟台帝思普网络科技有限公司(DNSPod) CDN服务:阿里云计算有限公司 百度云 中国互联网举报中心 增值电信业务经营许可证B2
建议您使用Chrome、Firefox、Edge、IE10及以上版本和360等主流浏览器浏览本网站