1. 首页
2. 知识百科
3. 自签名SSL证书安全吗？

自签名SSL证书安全吗？

发布日期：2020-06-03

目前，许多可通过公网访问的重要网站系统正在使用自签名的SSL证书，即由自建的PKI系统颁发的SSL证书，而不是部署支持浏览器的SSL证书。这绝对是一个重大的决策错误，弊大于利。自签证书存在严重的安全漏洞，极易受到攻击。

为什么自签名SSL证书不安全?

目前，几乎所有自签证书都是1024位密钥，自签根证书也都是1024位。1024位RSA非对称密钥对不再安全。美国国家标准技术研究院(NIST)要求停止使用不安全的1024位非对称加密算法。微软已要求从Windows受信任的根证书颁发机构列表中删除所有1024位根证书。谷歌Chrome对自签名SSL证书发出安全警告，这可能会影响网站流量。

自签名SSL证书有哪些安全风险?

一、自签名SSL证书最容易受到SSL中间人的攻击

自签证书是浏览器不信任的证书。当用户访问自签名证书时，浏览器将警告用户该证书不可信，并且需要人工确认是否信任该证书。所有使用自签证书的网站都明确地告诉用户这种情况。用户必须点击信任并继续浏览!这为中间人攻击创造了机会。

典型的SSL中间人攻击是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并通过制作假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。如果服务器部署了支持浏览器的受信任的SSL证书，当浏览器收到假的证书时会有安全警告，用户将发现不对并放弃连接，因此不会受到攻击。但是，如果服务器使用自签名证书，用户会认为网站要求他继续点击信任从而信错了攻击者的假证书，用户的机密信息会被攻击者获取，如网上银行密码，这是非常危险的。因此，重要的网银系统绝不能使用自签名的SSL证书!

二、自签证书最容易被假冒和伪造，而被诈骗网站所利用

所谓的自签名证书就是你自己制作的证书。既然你可以自己做，那么其他人也可以自己做，并且做成和你的证书一模一样，这样的话用同样的证书伪造一个假的网银网站就非常方便了。

然而使用支持浏览器的SSL证书不会有被伪造的问题。颁发给用户的证书是世界上唯一的可信的证书，不能伪造。一旦诈骗网站使用伪造的证书(证书信息是相同的)，由于浏览器有一套可靠的验证机制，它会自动识别伪造的证书，并警告用户证书是不可信的，并可能试图欺骗你或拦截你发送到服务器的数据!

三、自签名SSL证书存在风险：

1.浏览器不信任，安全警告将持续弹出，影响用户体验。

2.自签名的SSL证书没有可访问的吊销列表。

3.支持超长有效期，时间越长，就越容易被破解。

为了网络系统的安全，请不要使用自签名的SSL证书，这会带来巨大的安全风险和安全隐患，特别是重要的网银系统、网上证券系统和电子商务系统。建议使用由可信的CA机构颁发的安全SSL证书。

标签： ssl安全, SSL证书, 自签名SSL证书

上一篇：https能避免流量劫持吗?

下一篇：多个域名该选择哪种SSL证书？

相关新闻

• 部署SSL证书对企业机构有什么好处
• 国密证书和国密标准是什么关系
• SSL证书如何帮助企业机构提高自身安全意识
• SSL证书是保障网络通信安全的必要措施之一
• EV代码签名证书有什么好处吗
• EV代码签名证书适合哪些场景
• 低成本恶意软件泛滥，能窃取多个浏览器存储的个人数据
• 通配符SSL证书和多域名SSL证书谁的申请速度最快？
• 如何核对证书有效期
• SSL证书是什么，为何对网站安全至关重要