如今還有很多可以訪問的網站系統都在使用自簽SSL證書,即自建PKI系統頒發的SSL證書,而不是部署支持瀏覽器的SSL證書,這絕對是得不償失的重大決策失誤,自簽證書普遍存在嚴重的安全漏洞,極易受到攻擊
主要問題有:
- 自簽SSL證書很容易被假冒和偽造,被欺詐釣魚網站所利用 自簽證書,就是自己做的證書,既然你可以自己做,那別人可以做,可以做成與你一模一樣的證書,很容易的偽造一張證書然后就可以做一個與你一樣的網站,同樣有證書。 而 使用支持瀏覽器的SSL證書就不會有被偽造的問題,頒發給用戶的證書是全球唯一的可以信任的證書,是不可以偽造的,一旦欺詐網站使用偽造證書(證書信息一 樣),瀏覽器有一套可靠的驗證機制,會自動識別出偽造證書而警告用戶此證書不受信任,可能試圖欺騙您或截獲您向服務器發送的數據!
- 自簽證書最容易受到SSL中間人攻擊 自簽證書是不會被瀏覽器所信任的證書,用戶在訪問自簽證書時,瀏覽器會警告用戶此證書不受信任,需要人工確認是否信任此證書。所有使用自簽證書的網站都明確地告訴用戶出現這種情況,用戶必須點信任並繼續瀏覽!這就給中間人攻擊造成了可乘之機。
- 自簽證書支持不安全的SSL通信重新協商機制 據中國數字證書CHINASSL安全專家檢測,幾乎所有使用自簽SSL證書的服務器都存在不安全的SSL通信,這是SSL協議的安全漏洞,由於自簽證書系統並沒有跟蹤最新的技術而沒有及時補漏!此漏洞會被黑客利用而截獲用戶的加密信息。
- 自簽證書沒有可訪問的吊銷列表 這 也是所有自簽SSL證書普遍存在的問題,做一個SSL證書並不難,使用OpenSSL幾分鍾就搞定,但真正讓一個SSL證書發揮作用就不是簡單的事情。要 保證SSL證書正常工作,其中一個必要功能是證書中帶有瀏覽器可訪問的證書吊銷列表,如果沒有有效的吊銷列表,則如果證書丟失或被盜而無法吊銷,就極有可 能被用於非法用途而讓用戶蒙受損失。同時,瀏覽器在訪問時會有安全警告:吊銷列表不可用,是否繼續?,並且會大大延長瀏覽器的處理時間,影響網頁的流量速 度。
- 所以選擇權威的CA機構的SSL證書是很有必要的,目前主機偵探SSL證書商城(http://ssl.idcspy.net)是專售Symantec、Geotrust、Comodo以及RapidSSL等多家全球權威CA機構的SSL數字證書,在提供多品牌、多類型SSL證書申請和安裝服務,免手續費,全程專業技術指導。