如今还有很多可以访问的网站系统都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击
主要问题有:
- 自签SSL证书很容易被假冒和伪造,被欺诈钓鱼网站所利用 自签证书,就是自己做的证书,既然你可以自己做,那别人可以做,可以做成与你一模一样的证书,很容易的伪造一张证书然后就可以做一个与你一样的网站,同样有证书。 而 使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书(证书信息一 样),浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
- 自签证书最容易受到SSL中间人攻击 自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可乘之机。
- 自签证书支持不安全的SSL通信重新协商机制 据中国数字证书CHINASSL安全专家检测,几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信,这是SSL协议的安全漏洞,由于自签证书系统并没有跟踪最新的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息。
- 自签证书没有可访问的吊销列表 这 也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是简单的事情。要 保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,就极有可 能被用于非法用途而让用户蒙受损失。同时,浏览器在访问时会有安全警告:吊销列表不可用,是否继续?,并且会大大延长浏览器的处理时间,影响网页的流量速 度。
- 所以选择权威的CA机构的SSL证书是很有必要的,目前主机侦探SSL证书商城(http://ssl.idcspy.net)是专售Symantec、Geotrust、Comodo以及RapidSSL等多家全球权威CA机构的SSL数字证书,在提供多品牌、多类型SSL证书申请和安装服务,免手续费,全程专业技术指导。