碼上歡樂
相關內容    簡體    繁體

自簽名證書的是與非

本文轉載自   查看原文   2016-02-13 23:46   3124 

參考資料

https://en.wikipedia.org/wiki/Self-signed_certificate

http://mt.sohu.com/20150602/n414267586.shtml

http://www.1111wo----sign.++++com/FAQ/CRL_OSCP.htm

什么是自簽名證書?

In cryptography and computer security, a self-signed certificate is an identity certificate that is signed by the same entity whose identity it certifies.

自簽名證書, 首先是一個身份認證證書, 此證書由一個機構簽發, 此機構的身份由其自身認證。

In technical terms a self-signed certificate is one signed with its own private key.

技術實現上, 自簽名證書是這樣一種證書, 機構生成了一個證書,(證書上含有包括公鑰,同時還生成一個私鑰) 其簽名使用的是證書的私鑰。

 

In typical public key infrastructure (PKI) arrangements, a digital signature from a certificate authority (CA) attests that a particular public key certificate is valid (i.e., contains correct information).[1]

在典型的公鑰基礎結構上, 來自CA的數字簽名, 才能證明公鑰證書是合法的。 證書含有的內容是正規途徑認證的。

 

自簽名證書的適用前提

CAs are third parties and require both parties to trust the CA.(CAs are typically large, impersonal enterprises and a high-value target for compromise.)

CA系統是三方結構,需要其余兩方都信任CA。 CA普遍是大的非個人的企業, 很有可能成為侵害的目標。

 

If the parties know each other, trust each other to protect their private keys, and can confirm the accurate transfer of public keys (e.g. compare the hash out of band), then self-signed certificates may decrease overall risk. Self-signed certificate transactions may also present a far smaller attack surface.

如果通信中的雙方, 知道對方,信任對方可以保護好私鑰, 並且能夠保證公鑰的傳輸的精確性, 則自簽名證書 可以 減少整體性風險, 或者可以構成一個更小的攻擊面。

 

自簽名證書不能吊銷,造成危害

Self-signed certificates cannot (by nature) be revoked,[2] which may allow an attacker who has already gained access to monitor and inject data into a connection to spoof an identity if a private key has been compromised. CAs on the other hand have the ability to revoke any compromised certificates they signed if alerted, which prevents its further use.

 

自簽名證書不能被吊銷, 這樣允許了攻擊者仿冒身份,如果攻擊者拿到了私鑰, 並且 能夠檢測和注入數據在連接過程中。

但是,CA系統就有這個能力吊銷被竊取的私鑰的證書, 防止證書和私鑰被進一步的濫用。

 

Some CAs can verify the identity of the person to whom they issue a certificate; for example the US military issues their Common Access Cards in person, with multiple forms of other ID, and only when a higher authority requires the issue.

某些CA能驗證個人的身份, 這些人被CA頒布過證書。 例如 US軍方頒布過面向個人的 通用訪問卡。

 

吊銷證書的非法性 如何驗證?

如果一個網站, 私鑰丟失, 配套的證書也不能再被信任, 就需要向CA申請吊銷目前證書。 申請生效后, 如果攻擊者仍然使用 老的證書 干非法的勾當, 則客戶端(瀏覽器)如何驗證此證書已經被吊銷了呢?

http://www.111wo---sign.+++com/FAQ/CRL_OSCP.htm

證書吊銷列表 (Certificate Revocation List ,簡稱: CRL) 是 PKI 系統中的一個結構化數據文件,該文件包含了證書頒發機構 (CA) 已經吊銷的證書的序列號及其吊銷日期。

證書吊銷列表分發點 (CRL Distribution Point ,簡稱 CDP) 是含在數字證書中的一個可以共各種應用軟件自動下載的最新的 CRL 的位置信息。一個 CDP 通常出現在數字證書的 詳細信息 選項卡的 CRL 分發點 域,一般會列出多個使用不同的訪問方法,以確保如 Web 瀏覽器和 Web 服務器程序始終可以獲取最新的 CRL 。

 

http://www.----wosign.com/FAQ/images/server_1_crl_3.jpg

瀏覽器在使用 https:// 訪問已經部署了 SSL 證書的網站時,定會先檢查此 SSL證書是否已經被吊銷,也就是說會查詢吊銷列表或 OCSP 服務, 如果此證書已經被證書頒發機構吊銷,則會顯示警告信息: “此組織的證書已被吊銷。安全證書問題可能顯示試圖欺騙您或截獲您向服務器發送的數據。建議關閉此網頁,並且不要繼續瀏覽該網站。 ”

 

證書吊銷列表

 

自簽名證書 與 CA證書的比較

費用

Cost Self-signed certificates can be created for free using a wide variety of tools including OpenSSL, Java's keytool, Adobe Reader, and Apple's Keychain. Certificates bought from major CAs often cost around a hundred dollars per year. In December 2015[3] Mozilla Foundation has launched Let's encrypt, which allows one to obtain a DV certificate gratis.

自簽名證書, 可以使用 openssl等工具免費生成, 並免費使用。

但是CA證書, 需要從CA機構購買, 大概一年 100 美刀。

 

自己制作 openssl 工具

http://www.blogjava.net/alwayscy/archive/2006/12/01/84852.html

 

部署速度

Speed to Deploy Self-signed certificates require the two parties to interact (e.g. to securely trade public keys). Using a CA requires only the CA and the certificate holder to interact; the holder of the public key can validate its authenticity with the CA's root certificate.

自簽名證書, 需要通信的雙方都要安裝證書, 此雙方互動.    相對CA麻煩。

CA證書, 只需要  CA和證書持有者互動, 證書持有者(也是公鑰持有者)能夠驗證其自身的認證, 使用CA根證書。

ps: CA根證書在各大系統和瀏覽器上已經預裝, 無需客戶端關心。  自簽名的root需要手動安裝到客戶端。

 

定制化

Customization Self-signed certificates are easier to customize, for example a larger key size, contained data, metadata, etc.

自簽名證書 更容易定制, 例如, 更大的密鑰長度, 包含數據 和 其它元數據。

 

 

自簽名證書典型危害

http://mt.sohu.com/20150602/n414267586.shtml

自簽SSL證書最容易被假冒和偽造,被欺詐網站利用

  自簽SSL證書是可以隨意簽發的,不受任何監管,您可以自己簽發,別人也可以自己簽發。如果您的網站使用自簽SSL證書,那黑客也可以偽造一張一模一樣的自簽證書,用在釣魚網站上,偽造出有一樣證書的假冒網銀網站!

  而權威CA機構受國際標准組織審計監督,不可隨意簽發證書,必須嚴格認證申請者身份才能簽發全球唯一的證書,不會出現被偽造的問題。正規SSL 證書支持所有瀏覽器,由瀏覽器內置的可靠驗證機制,自動識別SSL證書的真實信息和證書狀態,如果出現證書綁定域名與實際域名不符、證書已吊銷或已過期等異常情況,瀏覽器會自動發出警告提醒用戶“此網站安全證書存在問題”,假冒網站無處遁形!

 

部署自簽SSL證書的網站,瀏覽器會持續彈出警告

  自簽SSL證書是不受瀏覽器信任的,用戶訪問部署了自簽SSL證書的網站時,瀏覽器會持續彈出安全警告,極大影響用戶體驗。

 

 

自簽SSL證書最容易受到SSL中間人攻擊

  用戶訪問部署了自簽SSL證書的網站,遇到瀏覽器警告提示時,網站通常會告知用戶點擊“繼續瀏覽”,用戶逐漸養成了忽略瀏覽器警告提示的習慣,這就給了中間人攻擊可乘之機,使網站更容易受到中間人攻擊。

  典型的SSL中間人攻擊就是中間人與用戶或服務器在同一個局域網,中間人可以截獲用戶的數據包,包括SSL數據包,並做一個假的服務器SSL證書與用戶通信,從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時,瀏覽器會警告用戶此證書不受信任,需要用戶確認是否信任此證書,用戶習慣性點擊“繼續瀏覽”,中間人攻擊輕而易舉的實現了。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 自簽名證書和CA證書的區別 OpenSSL 創建自簽名證書 hash和簽名 、證書 openssl生成自簽名證書 java簽名證書 公鑰、私鑰、簽名、證書 自簽名證書Linux的導入 簽名證書和加密證書的區別 https遇到自簽名證書/信任證書 nginx 自簽名證書 配置 https
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM