为什么不建议使用自签名ssl证书呢?

已于 2023-03-20 11:10:21 修改
阅读量258 收藏
点赞数
文章标签: ssl 网络协议 网络 网络安全 前端框架 Powered by 金山文档
于 2023-03-20 10:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WilliamCZH7/article/details/129662259
版权

自签名SSL证书是什么呢,其实很多人都不懂。不过这种证书是不可以注销的,如果被截取了,可以重新进行通讯。而且自签名证书是不能简单信任的,浏览器还会进行检查,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给了中间人攻击的机会。那么自签名证书有什么危害呢?

1.证书不受浏览器信任,易遭受攻击

自签名SSL证书是不受浏览器信任的,即使网站安装了自签名SSL证书,当用户访问时浏览器还是会持续弹出警告,让用户体验度大大降低。因它不是由CA进行验证签发的,所以CA无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,从而给攻击者可乘之机。

2.安装容易,吊销难

自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。

3.易被“钓鱼”

自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假。

4.超长有效期,时间越长越容易被破解

自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。

相信大家都希望自己的网站用户群体数量大,所展现的网站内容质量好,但当我们的网站不在安全的时候,我们所有为这个网站付出的心血都会付诸东流,剑盾SSL证书可以为大家的网络安全提供保驾护航,亦或者是中小型企业上云的过程中也会用到SSL证书来保障我们的网络安全,所以为了以防万一,千万别图划算而应用不安全性的自签名SSL证书!以免因为一点蝇头小利,而损害了我们付出心血去创造的网站造成伤害。

如有任何问题或需要,欢迎大家在评论区留言或私信,我会尽快回复大家!

WilliamCZH827
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
generate-ssl-certs-for-local-development:一个bash脚本,用于为Mac上的本地开发生成受信任的自签名SSL证书
04-23
在Mac上为本地开发生成自签名SSL证书 您是否需要在本地开发HTTPS网站? 要使其正常工作,您需要生成自己的SSL证书并告诉您的计算机信任它,这样您就不会感到奇怪。您的连接不是浏览器中的私人错误。 生成证书是一个...
记一次自签发证书不被信任的解决过程
SimGenius' Tech Blog
11-24 6741
背景 一个前端页面需要与一个本地服务有交流。这个页面处在https环境下,无法调用本地的http接口,需要接口升级为https去调用。 遇到的问题 自签发证书,信任根证书后,根证书签发的证书总是不被信任。 解决方式 通过Getting Chrome to accept self-signed localhost certificate这个回答的方式搞定了。 中间出了一些小问题。由于缺乏相关知识,想当然认为https证书检查和跨域检查是相同的要素(协议,域名,端口号),写Common的时候就把本地的端口号40
签名证书和私有CA签名证书的区别 创建自签名证书 创建私有CA 证书类型 证书扩展名
sdcxyz的专栏
08-03 3万+
签名证书无法被吊销,CA签名证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信 如果你的规划需要创建多个证书,那么使用私有CA的方法比较合适,因为只要给所有的客户端都安装了CA的证书,那么以该证书签名过的证书,客户端都是信任的,也就是安装一次就够了 如果你直接用自签名证书,你需要给所有的客户端安装该证书才会被信任
轻松解决自签名证书不安全!
Coding13的博客
12-31 1万+
轻松解决自签名证书不安全!(以下过程为windows下的操作过程) 本地服务需要支持https服务的时候,之前最常用到的就是使用openssl生成自签名证书来支持https。但是使用签名证书在浏览器里面就会遇到证书“不安全”的提示,为了解决证书“不安全”往往是煞费苦心。 现在在这里为大家提供一个简单使用的工具和方法,可以轻松实现本地服务支持https,而且是证书安全的https,彻底解决证书“不...
windows让自签证受信任(自签根证书受信任就行了)设置
修也
01-18 2万+
输入:mmc->控制台
解决不受信任的自签名证书问题
Marvin_Wind的博客
02-03 7898
urllib.error.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed 在全局导入import ssl import ssl ssl._create_default_https_context = ssl._create_unverified_context ...
Linux下Nginx安全证书ssl配置方法
01-20
初学者或者菜鸟建议使用LNMP进行一键安装。 生成证书:进入要生成证书的目录cd /usr/local/nginx/conf 使用openssl创建创建服务器私钥,输入相应提示的信息 代码如下:openssl genrsa -des3 -out server.key 1024 ...
Apache2:在Apache2服务器上配置SSL证书-Linux Ubuntu 18.04
04-08
如果您没有证书,并且想生成免费的自签名证书建议您遵循Digital Ocean教程( )。 本教程也是根据我在配置服务器方面的经验以及在Digital Ocean材料( ) 步骤1: 更改位于cd /etc/ssl的Pastar certs和private...
DeepViolet:内省SSL \ TLS会话的工具
05-14
我不建议将其用于任何重要事项; 但是,它可以满足存档目的。 这个项目很有趣,而且很高兴与大家分享。 在这个时候,我将自己的时间和精力投入其他领域。 2019年6月27日-米尔顿 OWASP DeepViolet TLS / SSL API | ...
网狐荣耀版开发使用常见问题解答
11-27
这个是因为游戏的kindid与创建的游戏的kindid不一致造成的,修改游戏的kindid为你的游戏的kindid就可以了。 二十三、网狐荣耀版出现在sys.servers中找不到服务器'rytreasuredblink'。请验证指定的服务器名称是否...
使用签名SSL证书配置HTTPS,解决浏览器提示不安全警告
热门推荐
Coding_Zhu的博客
04-20 8万+
项目测试过程中需要将应用从HTTP升级到HTTPS,浏览了网上一些帖子,参考《WebLogic11g-单双向SSL配置(以Springside3为例)》一文使用openssl工具来自建CA,并对秘钥进行自签名,配置到服务器后,可以通过HTTPS正常访问应用,但是浏览器会提示安全警告: 继续浏览则URL栏会变红,警告有证书错误: 这么鲜艳的红框框,一看就不让人放心呐!下面来说说怎
https遇到自签名证书/信任证书
dashan66的博客
06-26 7426
对于CA机构颁发的证书Okhttp默认支持 可以直接访问但是对于自定义的证书就不可以了(如:https ://kyfw.12306.cn/otn/), 需要加入Trust下面分两部分来写,一是信任所有证书,二是信任指定证书,访问自签名的网站一、信任所有证书1. 在你的module 下 build.gradule里添加1234dependencies {、、、compile 'com.zhy:okh...
使用签名证书进行TLS
storm_fury
10-26 4627
签名证书将创建并存储在密钥生成过程中指定的密钥库中,并应由签名证书替换。使用签名证书需要生成和分发证书并为证书建立明确的信任。 使用签名证书获取TLS/SSL配置的证书,用于非生产或测试环境。 创建证书的目录 $ mkdir -p / opt / cloudera / security / x509 / / opt / cloudera / security / jks / 让Cloude...
nginx下载安装配置(含ssl)
qq_36854073的博客
04-30 122
【代码】nginx下载安装配置(含ssl)
Teamcity为Azure的git源颁发ssh-rsa证书,使用ssl-keygen在macos下操作
最新发布
Afterwards_的专栏
04-30 186
执行这段将会要求输入旧密码和新密码两次,新密码可以和旧密码相同,这样会覆盖id_rsa文件.这个文件就是tc能支持的私钥了.更换了符合他要求的证书也是有一多半的情况不正常,但实则是微软服务的问题,是服务器都拿去跑算力了还是短暂的系统问题不确定.也可以使用puttygen转换私钥格式为PEM的,比ssh-keygen麻烦一些需要先转换成ppk文件才可以.以下记录生成符合SSH-RSA2的 SHA256或者512的方法,以符合微软的标准.回车后会要求输入生成的路径,会给出提示,默认回车即可。
openssl3.2 - exp - get openssl version info
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
04-27 319
查资料时,看到用API取旧版openssl取版本信息。去openssl工程中看了一下,有个内部测试程序有如何取openssl版本信息的API调用例子。整理一下。如果程序出了问题, 想确定一下openssl版本时,这个检测代码有用。
公网ip申请ssl仅260
04-29 339
现在市面上的IP SSL证书大多数都是DV基础型的IP SSL证书,例如Certum旗下的DV基础型单IP SSL证书,价格是二百六十元,用户在申请时不需要提供额外的资料,只需要验证公网IP地址的管理权就可以在3-5分钟颁发证书。1.IP SSL证书通常用于保护使用IP地址访问的网站,而不是使用域名访问的网站。IP SSL证书通常只能保护单个公网IP地址,例如Certum旗下的单IP SSL证书,但是也有可以同时保护多个公网IP地址的IP SSL证书,例如Sectigo旗下的多IP SSL证书
boot https ssl 使用http协议访问报错
I do more ,you do less
04-27 356
在springboot中配置ssl以后, 再次使用http访问对应的接口就会报错。可以考虑如下设置,将http访问的端口重定向到https对应的端口。
关于SSL加密,您应该知道什么?
网络安全服务提供商
04-26 558
客户端验证证书的有效性后,会生成一个随机的会话密钥,并使用服务器的公钥进行加密,然后发送给服务器。之后,所有的通信数据都会通过这个加密通道进行传输,确保数据的安全性和完整性。此外,SSL加密还能验证服务器的身份,有效防止钓鱼网站的攻击。SSL加密,全称为安全套接字层加密,是一种网络安全协议,主要用于在网络通信中提供隐私和数据完整性。因此,在使用SSL加密时,我们需要保持警惕,并采取一系列的安全措施。总的来说,SSL加密是一种强大的网络安全技术,它能够在很大程度上保护我们在网络中的隐私和数据安全。
使用openssl自制ssl证书
08-17
您可以按照以下步骤使用 OpenSSL 创建自签名 SSL 证书: 1. 安装 OpenSSL:首先,您需要安装 OpenSSL 工具包。您可以通过在终端中运行适用于您的操作系统的相应命令来安装它。 2. 生成私钥:使用以下命令生成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值