自签名SSL证书安全吗?
目前,有许多重要的公网可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。
为什么自签名SSL证书不安全?
目前几乎所有自签证书都是1024位密钥,自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。美国国家标准技术研究院( NIST )要求停止使用不安全的1024位非对称加密算法,微软已经要求将所有 1024 位根证书从 Windows 受信任的根证书颁发机构列表中删除;谷歌chrome对自签名SSL证书发出安全警告,从而可能影响网站流量。
自签名SSL证书存在哪些安全风险?
一、自签证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并与做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书,则浏览器在收到假的证书时会有安全警告,用户会发觉不对而放弃连接,从而不会被受到攻击。但是,如果服务器使用的是自签证书,用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书,这样用户的机密信息就被攻击者得到,如网银密码等,则非常危险,所以,重要的网银系统绝对不能用自签SSL证书!
二、自签证书最容易被假冒和伪造,而被欺诈网站所利用
所谓自签证书,就是自己做的证书,既然你可以自己做,那别人可以自己做,可以做成跟你的证书一模一样,就非常方便地伪造成为有一样证书的假冒网银网站了。
而使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一样),由于浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
三、自签SSL证书还存在风险:
1、不受浏览器信任,会持续弹出安全警告,影响用户体验。
2、自签名SSL证书没有可访问的吊销列表。
3、支持超长有效期,时间越长越容易被破解。
为了网络系统安全,请千万不要使用自签的SSL证书,从而带来巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。推荐使用受信任的CA机构提供的免费且安全的SSL证书。