如何添加自簽名的ssl證書,會有哪些風險?
??在互聯(lián)網(wǎng)電商世界里,安全對網(wǎng)絡業(yè)務和客戶是非常重要的。雙方都希望和需要具有隱私性和保密性的在線交易。SSL安全證書提供的信任對安全電子商務起了舉足輕重的作用。SSL是使用證書驗證身份以及確定信息流加密級別的互聯(lián)網(wǎng)協(xié)議。您可以從許多可信的證書供應商購買SSL證書。也有的公司或者個人處于成本考慮,也在使用自簽名SSL證書,其實自簽名SSL證書并不安全,可使用全球信任免費SSL證書。下面就由新網(wǎng)小編和大家講一講如何添加自簽名的ssl證書,會有哪些風險。
??ssl自簽名證書也是SSL證書的一種,不過大部分的這類證書都是不安全的,存在一定問題。但是SSL協(xié)議也會存在一定的問題,因為相關的跟蹤技術是不可以進行補漏和檢測的。這種BUG也是有可能被截取的,所以也會存在問題,不一定是安全的。自簽證書中還有一個普遍的問題是證書有效期太長,短則5年,長則20年、30年的都有,并且還都是使用不安全1024位加密算法。這種證書一般是不安全的,不過會被一定的標準進行限制,但是為何要限制證書有效期的基本原理是:有效期越長,就越有可能被黑客破解,因為他有足夠長的時間(20年)來破解你的加密。
??二、如何在計算機上添加自簽名SSL證書
??1. 將Internet信息服務(IIS)安裝在您的電腦上。然后點擊“開始”,“控制面板”,“程序”以及“將Windows功能打開或關閉”。請確?!癐nternet信息服務”的左邊小框是被勾選或被陰影。當安裝完成后,點擊“確定”
??2. 在Windows 桌面上點擊“開始”,然后再搜索框中輸入“inetmgr”。按“Enter”以打開互聯(lián)網(wǎng)信息服務管理工具。
??3. 查找您要管理的工具。在機器功能創(chuàng)個雙擊“服務器證書”
??4. 在右側的操作窗格中點擊“創(chuàng)建自簽名證書”
??5. 在“詳述證書友好名稱”框中輸入您新security certificate的“友好名稱”,然后點擊“確定”
??6. 打開瀏覽器,在地址欄上輸入“https://myserver/”,并按“Enter”鍵。您應該看到一個安全警告對話框,請求允許進入,并表明您已經(jīng)添加了SSL certificate。
??三、自簽名SSL證書有哪些風險?
??1. 自簽SSL證書最容易被假冒和偽造,而被欺詐網(wǎng)站所利用
??所謂自簽證書,就是自己做的證書,既然你可以自己做,那別人可以自己做,可以做成跟你的證書一模一樣,就非常方便地偽造成為有一樣證書的假冒網(wǎng)銀網(wǎng)站了。
??而使用支持瀏覽器的SSL證書就不會有被偽造的問題,頒發(fā)給用戶的證書是全球唯一的可以信任的證書,是不可以偽造的,一旦欺詐網(wǎng)站使用偽造證書(證書信息一樣),由于瀏覽器有一套可靠的驗證機制,會自動識別出偽造證書而警告用戶此證書不受信任,可能試圖欺騙您或截獲您向服務器發(fā)送的數(shù)據(jù)!
??2. 自簽SSL證書最容易受到SSL中間人攻擊
??自簽證書是不會被瀏覽器所信任的證書,用戶在訪問自簽證書時,瀏覽器會警告用戶此證書不受信任,需要人工確認是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況,用戶必須點信任并繼續(xù)瀏覽!這就給中間人攻擊造成了可之機。
??3. 自簽SSL證書支持不安全的SSL通信重新協(xié)商機制
??經(jīng)我公司專家檢測,幾乎所有使用自簽SSL證書的服務器都存在不安全的SSL通信重新協(xié)商安全漏洞,這是SSL協(xié)議的安全漏洞,由于自簽證書系統(tǒng)并沒有跟蹤最新的技術而沒有及時補漏!此漏洞會被黑客利用而截獲用戶的加密信息,如銀行賬戶和密碼等,非常危險,一定要及時修補。 請參考文章《SSL密鑰重新協(xié)商機制有最大安全漏洞,急需用戶升級補漏》
??4. 自簽證書支持非常不安全的SSL V2.0協(xié)議
??這也是部署自簽SSL證書服務器中普遍存在的問題,因為SSL v2.0協(xié)議是最早出臺的協(xié)議,存在許多安全漏洞問題,目前 各種新版瀏覽器都已經(jīng)不支持不安全的SSL v2.0協(xié)議 。而由于部署自簽SSL證書而無法獲得專業(yè)SSL證書提供商的專業(yè)指導,所以,一般都沒有關閉不安全的SSL v2.0協(xié)議。
??5. 自簽SSL證書沒有可訪問的吊銷列表
??這也是所有自簽SSL證書普遍存在的問題,做一個SSL證書并不難,使用OpenSSL幾分鐘就搞定,但真正讓一個SSL證書發(fā)揮作用就不是那么輕松的事情了。要保證SSL證書正常工作,其中一個必要功能是證書中帶有瀏覽器可訪問的證書吊銷列表,如果沒有有效的吊銷列表,則如果證書丟失或被盜而無法吊銷,就極有可能被用于非法用途而讓用戶蒙受損失。
??也許你會問,為何所有Windows受信任的根證書有效期都是20年或30年?因為一是根證書密鑰生成后是離線鎖保險柜的,并不像用戶證書一樣一直掛在網(wǎng)上;其二是根證書采用更高的密鑰長度和更安全的專用硬件加密模塊。
??總之 ,為了您的重要系統(tǒng)安全,請千萬不要使用自簽的SSL證書,從而帶來巨大的安全隱患和安全風險,特別是重要的網(wǎng)銀系統(tǒng)、網(wǎng)上證券系統(tǒng)和電子商務系統(tǒng)。小伙伴們要想獲得更多自簽名的ssl證書的內容,請關注新網(wǎng)。
聲明:免責聲明:本文內容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權,也不承認相關法律責任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內容,請發(fā)
送郵件至:operations@xinnet.com進行舉報,并提供相關證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權內容。本站原創(chuàng)內容未經(jīng)允許不得轉載,或轉載時
需注明出處:新網(wǎng)idc知識百科