并非所有类型SSL证书都是受浏览器信任的,有些网站部署了自签证书后,浏览器会不断弹出警告信息,影响用户体验。
第二,自己签发SSL证书易受SSL中间人攻击。
在访问部署有自签发SSL证书的网站时,用户会对浏览器的警告熟视无睹,这样就会逐渐养成忽视浏览器警告的习惯,这无疑会给中间人以可乘之机,使网站受到中间人攻击。
第三,自签发SSL证书容易被假冒或伪造,容易被诈骗网站利用。
自签发SSL证书,自己可随时随意颁发,不受监督。假如你的网站使用的是自己签发的SSL证书,黑客可以伪造和你的网站相同的证书,然后用来钓鱼。
第四,没有可访问的自签发SSL证书吊销列表。
为了确保SSL证书可以正常运行,需要让浏览器实时检查SSL证书状态是否过期、吊销等等,证书必须包含一个浏览器可以访问的证书吊销列表。如果浏览器不能及时确认SSL证书的吊销状态,那么,一旦证书丢失或被偷窃而不能吊销,将较有可能使用户遭受损失。
第五,自签发SSL证书自发行之日起有效期长,时间越长越容易被破解。
由于自签发SSL证书由于制作成本不受监管,其有效期有的长达 5 年,有的甚至长达 20 年 30 年,这样黑客就有足够的时间来破解您的密码。
这是我翻译的文章,英文出处找不到了。
如果你想要构建一个成功的网站,安全是关键因素之一,对于需要从访问者那里收集PIA(personally identifiable information,个人识别信息)的网站而言,尤其如此。
考虑一个需要输入社会保险号的网站,或更常见的,需要向其添加信用卡信息以完成购买行为的电子商务网站,在这样的网站上,安全不仅仅是来自那些访问者的期望,更是成功的关键。
如果你正在构建一个电子商务网站,首先就需要一个安全证书以便保证服务器的数据安全,对于证书的选择,即可以创建自签名证书,也可以从证书颁发机构(CA)获得由其签名的证书,让我们看看这两种证书的异同。
CA签名的证书和自签名证书的相似性
无论你的证书是由CA签名的,还是自己签名的,有一件事是完全相同的:你会得到一个安全的网站。通过HTTPS/SSL连接发送的数据将被加密,第三方无法窃听。
既然自签名证书也能做到这一点,那为何要向CA付款呢?
CA告诉你的客户:此服务器信息已由”信任源点“验证,最常用的CA是Verisign。CA会验证你的域名的所有权并颁发证书,这就能保证网站是安全而且合法的。
使用自签名证书的问题是,几乎每一个Web浏览器都会检查HTTPS连接是否由可信的CA签名,如果该连接是自签名的,则会将其标记为潜在风险并弹出错误消息,你的客户对该站点信任度就会降低。
简要总结:CA签名的证书兼具“身份证明”和“加密”双重功能,而由于自证身份不可信,自签名证书就只有加密功能,用于无需身份证明的场合。
在何种情况下可以使用自签名证书?
由于它们提供了相同的保护能力,所以能在任何使用CA签名证书的场合中使用自签名证书,但在某些场合特别适用自签名证书。例如,自签名证书非常适合测试HTTPS服务器,你不必仅仅为测试网站就要支付CA签名证书的费用,只需提醒测试人员他们的浏览器可能弹出警告信息。
也可以在需要输入隐私信息的情况下使用自签名证书,例如:
●用户名和密码表单
●收集个人(非财务)信息
当然,只有那些了解并信任你的人才会使用这样的网站。
所以你看到了,归根结底就是“信任”二字。当你使用自签名证书时,你是在对客户说:“请相信我——我就是我说的我”;当你使用由CA签名的证书时,你是在说:“请相信我——因为Verisign可以证明我的身份”。
如果你在做电子商务,就需要一个CA签名证书。
如果你使用自签名证书只是为了客户登录你的网站,那么他们可能会原谅你,但如果要求他们输入信用卡或Paypal的信息,那么你真的需要一个CA签名的证书,因为大多数人信任CA签名的证书,如果没有它,就不会通过HTTPS服务器做生意。所以如果你想在你的网站上卖东西,那就投资于证书吧,这只是做生意的成本。
自己生成的SSL证书也叫自签名证书,是由创建它的人签署的证书,而不是由受信任的证书机构签发的证书。自签名证书与受信任的SSL证书的区别在于:自签名证书普遍存在严重的安全漏洞,极易受到攻击,而且通常不受浏览器信任。因此,不建议大家使用自签名证书,以免造成巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。而受信任的SSL证书的就不存在这个情况。
使用自签名证书两个主要的弊端:
1)访问者的连接可能会被劫持,从而攻击者便能查看所有发送的数据(因此违背了加密连接的目的)
2)证书不能向受信任的证书那样进行撤销。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)