国产精品无码一区二区三区太,亚洲一线产区二线产区区别,欧美A区,人妻jealousvue人妻

×

ssl自簽名證書是什么 添加ssl自簽名證書存在什么風(fēng)險(xiǎn)

分類:建站推廣 編輯:碼眼看世界 瀏覽量:114
2021-04-19 14:05:58

  說(shuō)起SSL證書中,其實(shí)是分有很多種的,除了CA的SSL和一些域名類型的SSL證書之外,還有一種ssl自簽名證書,那么ssl自簽名證書是什么?如果需要添加ssl自簽名證書的話,會(huì)存在什么樣的風(fēng)險(xiǎn)呢?新網(wǎng)小編將為你詳細(xì)解答。


  ssl自簽名證書是什么

  自簽名證書是什么呢,其實(shí)很多人都不懂。不過(guò)這種證書是不可以注銷的,如果被截取了,可以重新進(jìn)行通訊。而且自簽名證書是不能簡(jiǎn)單信任的,瀏覽器還會(huì)進(jìn)行檢查,需要人工確認(rèn)是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況,用戶必須點(diǎn)信任并繼續(xù)瀏覽!這就給中間人攻擊造成了可之機(jī)。


  ssl自簽名證書也是SSL證書的一種,不過(guò)大部分的這類證書都是不安全的,存在一定問(wèn)題。但是SSL協(xié)議也會(huì)存在一定的問(wèn)題,因?yàn)橄嚓P(guān)的跟蹤技術(shù)是不可以進(jìn)行補(bǔ)漏和檢測(cè)的。這種BUG也是有可能被截取的,所以也會(huì)存在問(wèn)題,不一定是安全的。自簽證書中還有一個(gè)普遍的問(wèn)題是證書有效期太長(zhǎng),短則5年,長(zhǎng)則20年、30年的都有,并且還都是使用不安全1024位加密算法。這種證書一般是不安全的,不過(guò)會(huì)被一定的標(biāo)準(zhǔn)進(jìn)行限制,但是為何要限制證書有效期的基本原理是:有效期越長(zhǎng),就越有可能被黑客破解,因?yàn)樗凶銐蜷L(zhǎng)的時(shí)間(20年)來(lái)破解你的加密。
 
  如何在計(jì)算機(jī)上添加自簽名SSL證書
  1. 將Internet信息服務(wù)(IIS)安裝在您的電腦上。然后點(diǎn)擊“開(kāi)始”,“控制面板”,“程序”以及“將Windows功能打開(kāi)或關(guān)閉”。請(qǐng)確?!癐nternet信息服務(wù)”的左邊小框是被勾選或被陰影。當(dāng)安裝完成后,點(diǎn)擊“確定”
  2. 在Windows 桌面上點(diǎn)擊“開(kāi)始”,然后再搜索框中輸入“inetmgr”。按“Enter”以打開(kāi)互聯(lián)網(wǎng)信息服務(wù)管理工具。
  3. 查找您要管理的工具。在機(jī)器功能創(chuàng)個(gè)雙擊“服務(wù)器證書”
  4. 在右側(cè)的操作窗格中點(diǎn)擊“創(chuàng)建自簽名證書”
  5. 在“詳述證書友好名稱”框中輸入您新security certificate的“友好名稱”,然后點(diǎn)擊“確定”

  6. 打開(kāi)瀏覽器,在地址欄上輸入“https://myserver/”,并按“Enter”鍵。您應(yīng)該看到一個(gè)安全警告對(duì)話框,請(qǐng)求允許進(jìn)入,并表明您已經(jīng)添加了SSL certificate。


  自簽名SSL證書有哪些風(fēng)險(xiǎn)?
  1. 自簽SSL證書最容易被假冒和偽造,而被欺詐網(wǎng)站所利用
  所謂自簽證書,就是自己做的證書,既然你可以自己做,那別人可以自己做,可以做成跟你的證書一模一樣,就非常方便地偽造成為有一樣證書的假冒網(wǎng)銀網(wǎng)站了。
  而使用支持瀏覽器的SSL證書就不會(huì)有被偽造的問(wèn)題,頒發(fā)給用戶的證書是全球唯一的可以信任的證書,是不可以偽造的,一旦欺詐網(wǎng)站使用偽造證書(證書信息一樣),由于瀏覽器有一套可靠的驗(yàn)證機(jī)制,會(huì)自動(dòng)識(shí)別出偽造證書而警告用戶此證書不受信任,可能試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)!
  2. 自簽SSL證書最容易受到SSL中間人攻擊

  自簽證書是不會(huì)被瀏覽器所信任的證書,用戶在訪問(wèn)自簽證書時(shí),瀏覽器會(huì)警告用戶此證書不受信任,需要人工確認(rèn)是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況,用戶必須點(diǎn)信任并繼續(xù)瀏覽!這就給中間人攻擊造成了可之機(jī)。


  典型的SSL中間人攻擊就是中間人與用戶或服務(wù)器在同一個(gè)局域網(wǎng),中間人可以截獲用戶的數(shù)據(jù)包,包括SSL數(shù)據(jù)包,并與做一個(gè)假的服務(wù)器SSL證書與用戶通信,從而截獲用戶輸入的機(jī)密信息。如果服務(wù)器部署的支持瀏覽器的可信的SSL證書,則瀏覽器在收到假的證書時(shí)會(huì)有安全警告,用戶會(huì)發(fā)覺(jué)不對(duì)而放棄連接,從而不會(huì)被受到攻擊。但是,如果服務(wù)器使用的是自簽證書,用戶會(huì)以為是網(wǎng)站又要他點(diǎn)信任而麻木地點(diǎn)信任了攻擊者的假證書,這樣用戶的機(jī)密信息就被攻擊者得到,如網(wǎng)銀密碼等,則非常危險(xiǎn),所以,重要的網(wǎng)銀系統(tǒng)絕對(duì)不能用自簽SSL證書!


  點(diǎn)評(píng) :第1點(diǎn)和第2點(diǎn)都是由于自簽證書不受瀏覽器信任,而網(wǎng)站告訴用戶要信任而造成!所以,作為用戶,千萬(wàn)不要繼續(xù)瀏覽瀏覽器有類型如下警告的網(wǎng)站;而作為網(wǎng)站主人,千萬(wàn)不要因?yàn)椴渴鹆俗院炞C書而讓廣大用戶蒙受被欺詐網(wǎng)站所攻擊的危險(xiǎn),小則丟失密碼而為你增加找回密碼的客服工作量,大則可能讓用戶銀行賬戶不翼而飛,可能要賠償用戶的損失!


  也許你或者你的系統(tǒng)集成商會(huì)說(shuō):這不是什么大不了的事,只要用戶安裝了我的根證書,下次就不會(huì)提示了。理論上是的,但是,由于用戶有過(guò)要求點(diǎn)擊信任證書的經(jīng)歷,再次遇到要求點(diǎn)擊信任證書時(shí)一定會(huì)繼續(xù)點(diǎn)信任而遭遇了上了黑客的當(dāng)!

  即使你是在給用戶安裝USB Key管理軟件時(shí)悄悄安裝你的根證書,也是有問(wèn)題的,自簽證書無(wú)法保證證書的唯一性,你的自簽根證書和用戶證書一樣有可能被黑客偽造。


  不僅如此,除了以上兩個(gè)大問(wèn)題外,由于用戶自己開(kāi)發(fā)的證書頒發(fā)系統(tǒng)或使用其他公司的證書頒發(fā)系統(tǒng)并非不具有完備的PKI專業(yè)知識(shí),并沒(méi)有跟蹤最新的PKI技術(shù)發(fā)展,還存在其他重要安全問(wèn)題。
 
  3. 自簽SSL證書支持不安全的SSL通信重新協(xié)商機(jī)制
  經(jīng)我公司專家檢測(cè),幾乎所有使用自簽SSL證書的服務(wù)器都存在不安全的SSL通信重新協(xié)商安全漏洞,這是SSL協(xié)議的安全漏洞,由于自簽證書系統(tǒng)并沒(méi)有跟蹤最新的技術(shù)而沒(méi)有及時(shí)補(bǔ)漏!此漏洞會(huì)被黑客利用而截獲用戶的加密信息,如銀行賬戶和密碼等,非常危險(xiǎn),一定要及時(shí)修補(bǔ)。 請(qǐng)參考文章《SSL密鑰重新協(xié)商機(jī)制有最大安全漏洞,急需用戶升級(jí)補(bǔ)漏》
  4. 自簽證書支持非常不安全的SSL V2.0協(xié)議
  這也是部署自簽SSL證書服務(wù)器中普遍存在的問(wèn)題,因?yàn)镾SL v2.0協(xié)議是最早出臺(tái)的協(xié)議,存在許多安全漏洞問(wèn)題,目前 各種新版瀏覽器都已經(jīng)不支持不安全的SSL v2.0協(xié)議 。而由于部署自簽SSL證書而無(wú)法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo),所以,一般都沒(méi)有關(guān)閉不安全的SSL v2.0協(xié)議。
  5. 自簽SSL證書沒(méi)有可訪問(wèn)的吊銷列表
  這也是所有自簽SSL證書普遍存在的問(wèn)題,做一個(gè)SSL證書并不難,使用OpenSSL幾分鐘就搞定,但真正讓一個(gè)SSL證書發(fā)揮作用就不是那么輕松的事情了。要保證SSL證書正常工作,其中一個(gè)必要功能是證書中帶有瀏覽器可訪問(wèn)的證書吊銷列表,如果沒(méi)有有效的吊銷列表,則如果證書丟失或被盜而無(wú)法吊銷,就極有可能被用于非法用途而讓用戶蒙受損失。同時(shí),瀏覽器在訪問(wèn)時(shí)會(huì)有安全警告:吊銷列表不可用,是否繼續(xù)?,并且會(huì)大大延長(zhǎng)瀏覽器的處理時(shí)間,影響網(wǎng)頁(yè)的流量速度。請(qǐng)參考 《什么是證書吊銷列表(CRL)?》
  6. 自簽SSL證書使用不安全的1024位非對(duì)稱密鑰對(duì)

  1024位RSA非對(duì)稱密鑰對(duì)已經(jīng)變得不安全了,所以,美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院( NIST )要求停止使用不安全的1024位非對(duì)稱加密算法。微軟已經(jīng)要求所有受信任的根證書頒發(fā)機(jī)構(gòu)必須于2010年12月31日之前升級(jí)其不安全的1024位根證書到2048位和停止頒發(fā)不安全的1024位用戶證書,12 月 31 日之后會(huì)把不安全都所有 1024 位根證書從 Windows 受信任的根證書頒發(fā)機(jī)構(gòu)列表中刪除!


  而目前幾乎所有自簽證書都是1024位,自簽根證書也都是1024位,當(dāng)然都是不安全的。還是那句話:由于部署自簽SSL證書而無(wú)法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo),根本就不知道1024位已經(jīng)不安全了。
  7. 自簽SSL證書證書有效期太長(zhǎng)

  自簽證書中還有一個(gè)普遍的問(wèn)題是證書有效期太長(zhǎng),短則5年,長(zhǎng)則20年、30年的都有,并且還都是使用不安全1024位加密算法??赡苁亲院炞C書制作時(shí)反正又不要錢,就多發(fā)幾年吧,而根本不知道PKI技術(shù)標(biāo)準(zhǔn)中為何要限制證書有效期的基本原理是:有效期越長(zhǎng),就越有可能被黑客破解,因?yàn)樗凶銐蜷L(zhǎng)的時(shí)間(20年)來(lái)破解你的加密。


  也許你會(huì)問(wèn),為何所有Windows受信任的根證書有效期都是20年或30年?好問(wèn)題!因?yàn)椋阂皇歉C書密鑰生成后是離線鎖保險(xiǎn)柜的,并不像用戶證書一樣一直掛在網(wǎng)上;其二是根證書采用更高的密鑰長(zhǎng)度和更安全的專用硬件加密模塊。


  在上文中,新網(wǎng)小編已經(jīng)詳細(xì)羅列出來(lái)了有關(guān)ssl自簽名證書如何添加以及添加ssl自簽名證書時(shí)會(huì)遇到的風(fēng)險(xiǎn)詳解,因此如果要添加ssl自簽名證書的話,要注意規(guī)避以上問(wèn)題哦。


聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)

送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)

需注明出處:新網(wǎng)idc知識(shí)百科

免費(fèi)咨詢獲取折扣

Loading