自簽名證書可以指許多不同的證書類型,包括SSL/TLS證書、S/MIME證書、代碼簽名證書等,其中最常見的證書類型是自簽名SSL證書。與CA頒發的SSL證書不同,自簽名證書通常指的是那些未經第三方驗證,直接上傳到私有公鑰基礎結構 (PKI) 的證書文件。
什么是自簽名SSL證書?
自簽名證書是由不受信的CA機構頒發的數字證書,也就是自己簽發的證書。與受信任的CA簽發的傳統數字證書不同,自簽名證書是由一些公司或軟件開發商創建、頒發和簽名的。雖然自簽名證書使用的是與X.509證書相同的加密密鑰對架構,但是卻缺少受信任第三方(如Sectigo)的驗證。在頒發過程中缺乏獨立驗證會產生額外的風險,這就是為什么對於面向公眾的網站和應用程序來說,自簽名證書是不安全的。
自簽名證書有什么優勢?
雖然使用自簽名證書有風險,但也有其用途。
- 免費。自簽名證書是免費提供的,任何開發人員都可以申請。
- 隨時簽發。自簽名證書可以隨時隨地簽發,不用等待第三方證書頒發機構的驗證和簽發。
- 加密。自簽名SSL證書使用與其他付費SSL/TLS證書相同的方法加密傳輸數據。
- 方便。自簽名證書不會在一段時間后過期或需要續訂,但CA頒發的證書卻會在一段時間后過期,還需要續訂。
雖然自簽名證書看起來很方便,但這也是這些證書的主要問題之一,因為它們無法滿足針對發現的漏洞進行安全更新,也不能滿足當今現代企業安全所需的證書敏捷性。因此,很少人使用自簽名SSL證書。此外,自簽名證書無法撤銷證書,如果證書被遺忘或保留在惡意行為者開放的系統上,則會暴露所使用的加密方法。不幸的是,即便如此,一些 IT 部門認為,證書頒發機構頒發的證書的成本超過了降低額外驗證和漏洞支持的風險。
自簽名證書有什么缺陷?
1、不受瀏覽器信任,易丟失用戶。
每當用戶訪問使用自簽名證書的站點時,他們會收到“不安全”警告,顯示諸如“error_self_signed_cert”或“err_cert_authority_invalid”之類的錯誤,要求用戶確認他們願意承擔風險繼續瀏覽。這些警告會給網站訪問者帶來恐懼和不安,用戶會認為該網站已被入侵,無法保護他們的數據,最后選擇放棄瀏覽該站點轉而訪問不會提示安全警告的競爭對手網站。另外,不受瀏覽器信任的自簽名證書,地址欄不會顯示安全鎖和HTTPS協議頭。下圖為SSL證書在瀏覽器地址欄中的狀態顯示,左邊為自簽名SSL證書,右邊為受信CA頒發的SSL證書:
2、不安全。
由於自簽名證書支持超長有效期,因此也無法在發現新的漏洞后進行安全更新,容易受到中間人攻擊破解。自簽名SSL證書沒有可訪問的吊銷列表,也容易被黑客偽造、假冒網站利用,不能滿足當前的安全策略,存在諸多的不安全隱患。
企業可以使用自簽名證書嗎?
如前所述,使用自簽名證書會帶來很多風險,特別是在公共站點上使用自簽名證書的風險更大。對於處理任何個人敏感信息的網站,包括健康、稅務或財務記錄等信息,萬萬不可使用自簽名證書。類似這樣的數據泄露會損害用戶對品牌的信任度,還會遭到隱私法規的處罰,損害企業的經濟利益。
許多人認為在公司內部的員工門戶或通信站點部署自簽名證書沒有風險,但事實並非如此。因為在這些站點使用自簽名證書仍會導致瀏覽器安全警告。雖然可以忽略這些警告,但卻無意中助長了員工忽略安全警告的習慣。這種行為習慣可能會使企業今后面臨更大的風險。
雖然我們不推薦企業使用自簽名證書,但它也並不是沒有用處。一般來說,自簽名證書可以用於內部測試環境或限制外部人員訪問的Web服務器。
如何創建自簽名證書?
雖然自簽名證書存在一定的安全隱患,但有它的優勢,這里給大家分享一下創建自簽名證書的方法。其實,創建自簽名SSL證書很簡單,主要取決於您的服務器環境,如Apache或Linux服務器。方法如下:
1、生成私鑰
要創建SSL證書,需要私鑰和證書簽名請求(CSR)。您可以使用一些生成工具或向CA申請生成私鑰,私鑰是使用RSA和ECC等算法生成的加密密鑰。生成RSA私鑰的代碼示例:openssl genrsa -aes256 -out servername.pass.key 4096,隨后該命令會提示您輸入密碼。
2、生成CSR
私鑰生成后,您的私鑰文件現在將作為 servername.key 保存在您的當前目錄中,並將用於生成CSR。自簽名證書的CSR的代碼示例:openssl req -nodes -new -key servername.key -out servername.csr。然后需要輸入幾條信息,包括組織、組織單位、國家、地區、城市和通用名稱。通用名稱即域名或IP地址。
輸入此信息后,servername.csr 文件將位於當前目錄中,其中包含 servername.key 私鑰文件。
3、頒發證書
最后,使用server.key(私鑰文件)和server.csr 文件生成新證書(.crt)。以下是生成新證書的命令示例:openssl x509 -req -sha256 -days 365 -in servername.csr -signkey servername.key -out servername.crt。最后,在您的當前目錄中找到servername.crt文件即可。
創建自簽名證書的方法很簡單,不需要第三方驗證。所以,它是可以在內部測試環境中使用,但不建議企業在用戶環境中使用。企業或組織應該選擇受信CA頒發的SSL證書,銳誠信息提供Digicert、Sectigo、Globalsign等全球最受信的CA機構頒發的SSL證書,這些證書能幫助您規避用戶流失、數據泄露和中間人攻擊等安全風險。千萬不要為了省小錢而花大錢,要有長遠的眼光,才能獲得長久的利益!