为什么不建议使用自签名ssl证书呢?
时间 : 2020-08-17编辑 : DNS智能解析专家
自签名SSL证书是什么呢,其实很多人都不懂。不过这种证书是不可以注销的,如果被截取了,可以重新进行通讯。而且自签名证书是不能简单信任的,浏览器还会进行检查,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给了中间人攻击的机会。那么自签名证书有什么危害呢?
1.证书不受浏览器信任,易遭受攻击
自签名SSL证书是不受浏览器信任的,即使网站安装了自签名SSL证书,当用户访问时浏览器还是会持续弹出警告,让用户体验度大大降低。因它不是由CA进行验证签发的,所以CA无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,从而给攻击者可乘之机。
2.安装容易,吊销难
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
3.易被“钓鱼”
自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假。
4.超长有效期,时间越长越容易被破解
自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。
假如是关键的网上银行系统软件、网上商城系统等,最好是使用付钱的正规CA机构颁发的SSL证书,千万别图划算而应用不安全性的自签名SSL证书!
热门标签
