自签名SSL证书介绍及其缺点

便宜SSL11个月前 (08-06)便宜SSL知识127

标准SSL证书由受信任的证书颁发机构(CA)颁发和验证,此类证书使用信任链,其中每个证书都由更可靠的证书签名和信任,此链一直延伸到根证书。SSL证书一般需要付费使用,以致很多没有安全预算的企业选择在网站上使用免费的自签名证书。那么自签名SSL证书是什么呢?自签名SSL证书安全吗?

一、自签名SSL证书介绍

谷歌已宣布自签名SSL证书不会被视为HTTPS信号。2014年8月,谷歌宣布使用HTTPS / SSL的网站将获得SERP的排名提升,但谷歌调查自签名证书由于其较低的安全性和信任因素而不值得作为HTTPS排名信号。最后,他们决定从HTTPS排名信号中标记它。

自签名SSL证书是使用openssl等工具创建的证书,而不是从第三方证书颁发机构(CA)获取的,它不使用信任链。一般自签名SSL证书适合用于测试目的和内部LAN服务,通常不建议在公众可访问的任何网站上使用自签名SSL证书。

二、自签名SSL证书存在安全隐患

在公钥加密基础设施(PKI)中,证书颁发机构(CA)必须信任证书签名者以保护私钥并通过互联网在线传输信息。但是在自签名SSL证书的情况下,CA无法识别签名者并且不会信任它,因此私钥将不再保持安全并且也会受到损害,这助长了网络犯罪分子攻击网站并窃取信息的行为。

⌈ 自签名SSL证书存在的缺点 ⌋:

· 应用程序/操作系统不信任自签名证书,这可能会导致身份验证错误等。

· 自签名证书可使用低哈希和密码技术。因此,自签名证书的安全级别可能不满足当前的安全策略等。

· 不支持高级PKI(公钥基础结构)功能,例如在线检查撤销列表等。

· 自签证书的有效期通常为1年,这些证书需要每年更新/更换,这是一个很难维护的问题。

⌈ 在公共站点上使用自签名SSL证书的风险 ⌋:

与自签名SSL证书相关联的安全警告会驱逐潜在客户,因为担心网站无法保护其凭据,从而使得品牌声誉和客户信任都受到损害。

(自签名SSL证书的安全警告示例)

⌈ 在内部网站上使用自签名SSL证书的风险 ⌋:

在公共站点上使用自签名证书的危险很明显,在内部使用它们同样存在风险。内部站点(例如员工门户)上的自签名证书仍会导致浏览器警告。许多组织建议员工忽略警告,因为他们知道内部站点是安全的,但这可能会鼓励危险的公共浏览行为。习惯于忽略内部站点警告的员工可能倾向于忽略公共站点上的警告,使他们和您的组织容易受到恶意软件和其他威胁的攻击。

如果在电子商务网站上安装了自签名SSL证书,用户将感受到数据和信息被盗的风险并退出购物,这也会影响在线业务和所有者的声誉。收集用户敏感信息和个人信息的网站不应安装自签名SSL证书。银行、电子商务、社交媒体、医疗保健、政府部门就是其中之一。


相关文章

域名型通配符ssl证书的优势及申请方法

ssl证书已经成为每个站点和通讯开发所必需的技术安全产品。有了这个证书,网站的安全性可以得到提高,所以在保护网站信息安全时,企业可以申请ssl证书,然后将证书配置到网站服务器上。目前,比较流行的ssl证书之一是域名型通配符ssl证书,它有许...

最熟悉的陌生人——基于共享证书的HTTPS上下文混淆攻击实证研究(三)

论文题目:Talking with Familiar Strangers: An Empirical Study on HTTPS Context Confusion Attacks (本文为ACM CCS 2020录用)论文作者:张明明,...

什么是DNS Leak?

什么是DNS Leak?DNS Leak指的是存在一个安全漏洞,该安全漏洞使得DNS请求暴露给了ISP DNS服务器,尽管VPN服务试图阻止这种情况。什么引起了DNS 泄露?DNS泄漏事件的发生有几个主要原因,通常是由于某种形式的配置错误导...

网站提示“不安全”警告怎么解决?

未部署SSL证书的网站地址栏会有“不安全”警告谷歌、火狐、360等浏览器会对未部署SSL证书的HTTP网站发出“不安全”的警告,提醒用户不要在该网站输入卡号等信息,容易被攻击者窃取。为了保护消费者的资金安全,谷歌等各大主流浏览器将所有未加密...

nginx如何配置https证书

第一步、客户端发送请求,服务器将证书发送给客户端,证书的本质是第三方CA的私钥加密的内容,其内容是服务器的公钥。第二步、客户端接收到证书后,用操作系统和浏览器内置的CA公钥去匹配验证证书,如果能解密,说明请求的是目标网站,不是中间人。第三步...

Envoy 配置 HTTPS 证书

本节我们将演示如何使用 Envoy 保护 HTTP 网络请求。确保 HTTP 流量安全对于保护用户隐私和数据是至关重要的。下面我们来了解下如何在 Envoy 中配置 SSL 证书。1. SSL 证书这里我们将为 example.com 域名...

SSL证书的HTTPS服务器能防止流量劫持吗?

科学技术的发展给我们带来了许多便利,但也带来了更多的潜在威胁,因此信息安全变得越来越重要。什么是流量劫持?流量劫持是一种古老的攻击方式,比如广告弹出,已经使用很久了。很多人已经麻木了,认为流量劫持不会造成什么损失。事实上,流量劫持可以通过各...

Android 7.0关于HTTPS证书的适配讲解

对于Android N之前自定义或非CA证书的使用,一般有两种方式:自定义 X509TurstManager 和 HostnameVerifier,替换原有的 HttpsURLConnection 中的校验类。自定义方法以烂大街的转载版为主...

Android渗透测试HTTPS证书校验绕过

日常Android渗透过程中,会经常遇见https证书校验(http就不存在证书校验了,直接抓包便可),不能抓取数据包。APP是HTTPS的服务提供方自己开发的客户端,开发者可以先将自己服务器的证书打包内置到自己的APP中,或者将证书签名内...

什么是扩展验证(EV)SSL证书?

扩展验证(EV)SSL证书是目前最高水平的SSL证书。商家信息必须通过SSL证书颁发机构验证后,证明该商家是真实的,才能颁发此证书。部署了EV SSL证书的网站,在URL中直接显示商家名称的绿色地址栏。当用户在URL中看到商家名称时,他很快...

如何获取网站的HTTPS证书?

如果你的网站需要收集敏感信息(包括电子邮件和密码等),那么就需要保证网站的安全。最好的方法之一是启用HTTPS,以便自动加密进出服务器的任何信息,防止黑客窃取和篡改访客的信息。HTTPS超文本传输协议安全,是URL中自动HTTP数据提交协议...

性价比高的便宜SSL证书品牌有哪些?

先来看看国产品牌中有哪些便宜的SSL证书?GeoTrustGeoTrust是全球第二大数字证书品牌,是Digicert旗下中高端SSL证书品牌。GeoTrust SSL证书类型齐全,知名度高,兼容性好,签发速度快,可以为不同网站和服务器提供...

什么是组织验证(OV)SSL证书?

组织验证(OV)SSL证书是一种高度保证的SSL证书,用于验证公司/商务/组织类型的证书。商务SSL证书的主要目标是对商业平台使用的网站/业务和用户的敏感信息进行加密。它提出了2048位签名及高达256位的加密强度,证书详情显示组织名称,这...

HTTPS 的证书过期时间是否应该缩短?

Google 向非正式 CA 行业组织 CA/B Forum 递交提议,建议将 HTTPS 证书的过期时间从 825 天减少到 397 天。设立证书过期时间是为了限制撤销证书清单的大小(有各种原因需要撤销证书),如果没有过期时间那...

iOS 之Https自签名证书认证及数据请求的封装

摘要: 在WWDC 2016开发者大会上,苹果宣布了一个最后期限:到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。App Transport Security(ATS)是...

ssl证书有什么类型?有哪些区别?

对人们来说,通过互联网传递信息非常方便。在传递信息时,人们可以方便快捷地相互交流。当然,网络信息也需要有一定的安全保证,用户才能安全使用。因此,许多企业网站已经开始安装ssl证书。将ssl证书安装到网站时,需要清楚了解ssl证书的类型。接下...

自己制作SSL证书的方法

1. 介绍1.1 介绍如果我们需要一张SSL证书,又不想花钱,又不想麻烦,可以自己制作一个。自己制作的SSL证书的好处是分分钟搞定,简单,快捷。缺点是证书不受信任,浏览器会显示不安全。2. 教程2.1 创建 server.key 文件ope...