自签名证书和CA机构颁发的证书的区别

最新推荐文章于 2022-09-26 16:53:12 发布
最新推荐文章于 2022-09-26 16:53:12 发布
阅读量6.3k 收藏 6
点赞数 1
分类专栏: 网络通讯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jakejohn/article/details/104644213
版权

自己生成的SSL证书也叫自签名SSL证书,签发很随意,任何人都可以签发,容易被黑客仿冒利用,不是由正规的CA机构颁发的,所以不受浏览器的信任。

而付费的SSL证书,是由受信任的CA机构颁发的,申请时会对域名所有权和企业相关信息进行验证,安全级别是比较高的,而且备受各大浏览器的信任。当然是付费的好。

自签名SSL证书的缺点如下:

1、自签SSL证书最容易被假冒和伪造,被欺诈网站利用

自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!

2、部署自签SSL证书的网站,浏览器会持续弹出警告

自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。

3、自签SSL证书最容易受到SSL中间人攻击

用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。

4、自签SSL证书没有可访问的吊销列表

这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。

5、自签SSL证书支持超长有效期,时间越长越容易被破解

自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年甚至30年。因为自签证书制作无成本无监管,想签发几年就签发几年,而根本不知道PKI技术标准限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。

David.li
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
diyca:自己动手做的证书颁发机构
05-01
概述 ***仅Python 3 *** (Python 2已于2020年弃用) ***严格遵循docs / preparation_notes.txt非常重要。 *** 这个git项目构成了一个自己动手的证书颁发机构(diyca),适用于在进入集成系统测试之前就进行单元测试(开发人员测试)的受众:更多的开发人员,最终用户和/或审核员。 基于用户提供的证书签名请求(CSR),使用Web浏览器(Firefox,Safari等),使用Web服务器方法来获得由此单元测试CA签名的X.509证书。 该项目的灵感来自无数的物联网(IoT)项目,这些项目可能属于以下不良模式之一: 根本没有数据安全性:(1)没有端点的身份验证,(2)没有消息完整性检查,(3)数据以明文形式通过网络传输。 合作伙伴正在使用弱加密技术(例如RC4或Single-DES),并且没有安装或管理密钥的安全方法。 例如,
CA证书自签详解
z344945251的博客
06-05 7343
原文链接:http://blog.csdn.net/liunian_siyu/article/details/53024407 首先需要安装openssl。 openssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。 首先需要利用openssl生成根证书
签名证书和私有CA签名证书区别 创建自签名证书 创建私有CA 证书类型 证书扩展名
热门推荐
sdcxyz的专栏
08-03 3万+
签名证书无法被吊销,CA签名证书可以被吊销 能不能吊销证书区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信 如果你的规划需要创建多个证书,那么使用私有CA的方法比较合适,因为只要给所有的客户端都安装了CA证书,那么以该证书签名过的证书,客户端都是信任的,也就是安装一次就够了 如果你直接用自签名证书,你需要给所有的客户端安装该证书才会被信任
基于 OpenSSL 生成自签名证书,数字签名,泛域名证书ca证书,PKI等
sun007700的专栏
10-25 1805
基于 OpenSSL 生成自签名证书_qhh0205-CSDN博客_openssl自签名证书
blind-ca:Secp256k1盲签名证书颁发机构样板
02-14
盲csp Vocdoni blind-csp是用于证书服务提供商的模块化RPC后端,可提供客户端身份验证和声明/签名恢复。 当前,它支持ECDSA和ECDSA_BLIND签名类型。 支持用于客户端身份验证的x509证书。 它的设计使编写新的身份验证处理程序(例如在handlers/目录中找到的handlers/非常容易。 该API非常简单(仅存在两种方法:auth和sign),并且遵循所有Vocdoni组件的相同标准。 认证和令牌回收 询问 { "id": "req-12345678", "request": { "method": "auth", "signatureType": "ECDSA" | "ECDSA_BLIND", // one of the currently supported types "authData": ["John
PKI-3-CA证书、自颁发(self-issued)证书、自签(self-signed)证书概念
一分耕耘一分收获
11-16 2197
在PKI-1,PKI-2上解释了数字签名、数字证书的概念,其中数字证书就是以CA证书为例,此外还有一些证书概念,如自颁发(self-issued)证书、自签(self-signed)证书CA:Certificate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任 CA证书:通常指的是颁发者和主体是不同的证书; 自颁发证书:是指证书颁发者和主体是同一个CA证书。 .
如何使用工作证书验证根证书
chali1314的博客
09-08 1273
工作证书对根证书的验证主要是验证根证书的公钥。 已知根证书的格式为pem,工作证书格式为crt,验证流程为 1、读取根证书pem文件,获取根证书公钥; 2、读取工作证书文件,获取工作证书; 3、使用工作证书验证根证书公钥,验证通过,则说明该工作证书是根证书下发的 具体代码片段如下: /** * 根据根证书获取根证书公钥 * * @param rootCertPath 根证书路径 * @return * @throws Exception ...
一文了解数字签名、数字证书、自签证书
叮当猫的喵i
09-26 4362
数字签名是基于非对称密钥加密技术与数字摘要技术的应用,是一个包含电子文件信息以及发送者身份,并能够鉴别发送者身份以及发送信息是否被篡改的一段数字串。指明序列号文件,序列号文件是ca指令签发证书的时候的依据文件之一,它从该文件读取当前签发的证书的序列号并将序列号文件中的序列号加1,这样,就可以确保证书的序论号是递增的,不会重复。但是,上述文件是有格式的,只能是。CSR文件必须有CA签名才可形成证书,可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢。可以生成密钥,创立证书
签名与自签名证书区别,解释的非常到位!
anakin.jin的专栏
05-05 2962
Signed Self-signed Certificates difference
RSA公钥和私钥是否可以任意公开一个保密一个
明明
03-02 1万+
RSA公钥和私钥是否可以任意公开一个保密一个,不可以,RSA公钥和私钥的位置是不对等的。通过RSA私钥很容易导出RSA公钥,但是通过RSA公钥无法导出RSA私钥。因为保存了n,d之外还有q p信息所以能计算出公钥,但是公钥只还有n,e信息。
openssl_certs:用于创建自签名CA证书和由CA签名的CN证书的脚本
02-16
使用openssl创建和管理证书的脚本,让我们进行加密 1.使用HTTPS设置Jenkins并让我们加密证书 介绍 Let's Encrypt是由Internet Security Research Group经营的非盈利性证书颁发机构CA),它免费提供用于TLS加密的X.509证书。 该证书受到大多数常见浏览器/工具的信任,并将允许在网站/服务上启用HTTPS。 让我们加密需要对托管服务器进行域和外壳访问,以便运行演示对域的控制权的软件。 该软件是实现ACME协议的代理。 Certbot是推荐的ACME客户端。 我们将使用Certbot获得新证书。 让我们加密证书有效期为3个月,可以使用Certbot再次对其进行更新。 自到期之日起一个月内,Certbot将检查并更新证书。 我们将创建一个Cron作业,该作业将定期运行Certbot来检查和更新证书。 最后,我们将使用新证书来创建J
ansible_role_ownca:从自签名CA创建和部署证书
04-16
Ansible角色:ownca 该角色从现有的自签名授权创建证书,并将此证书部署到服务器。 证书将在目标主机上生成,在Ansile主机上签名,然后再次上载到目标主机。 要求 您需要手动创建一个证书颁发机构,该证书颁发机构将用于对所有主机的证书进行签名。 $ openssl genrsa -aes256 -out ca-key.pem 2048 $ openssl req -x509 -new -nodes -extensions v3_ca -key ca-key.pem -days 1095 -out ca-root.pem -sha512 角色变量 下面列出了可用的变量以及默认值(请参见defaults/main.yml ): ownca_root_ca_folder: "/home/myuser/myownca" ownca文件所在的本地文件夹。 ownca_root_ca_
certstrap:用于引导CA证书请求和签名证书的工具
01-28
证书陷阱 一个用Go编写的简单证书管理器,用于引导您自己的证书颁发机构和公共密钥基础结构。 改编自etcd-ca。 如果您不想处理openssl,其众多选项或配置文件,certstrap是一个非常方便的应用程序。 常见用途 certstrap允许您构建自己的证书系统: 初始化证书颁发机构 创建主机的身份和证书签名请求 签名并生成证书 证书架构 certstrap可以初始化多个证书颁发机构来签署证书。 用户也可以使用签名的主机对以后的证书请求进行签名,从而制作任意长的证书链。 例子 入门 建造 certstrap必须使用Go 1.13+构建。 您可以从源代码构建certstrap: $ git clone https://github.com/square/certstrap $ cd certstrap $ go build 这将在项目根文件夹下生成一个名为certstrap的二进制文件。 初始化新的证书颁发机构: $ ./certstrap init --common-name "CertAuth" Created out/CertAuth.key Created out/
TUTK p2p穿透的使用介绍
孤独行者的专栏
02-16 1万+
1、p2p连通图 描述: (1)设备注册到P2P服务器 (2)客户端向P2P服务器请求P2P连接服务 (3)P2P服务器为客户端提供全套打孔服务 (4)P2P服务器为设备提供全套打孔服务    (5) 设备和客户端直接连接,不涉及P2P服务器 Relay connection is used rather than P2P when P2P connection fails. ...
post实现图片上传
孤独行者的专栏
03-22 9900
上传图片方式有很多,今天给大家介绍一个开源的库使用的方法,希望对大家有所帮助! #include <stdio.h> #include <string.h> #include <curl/curl.h> int main(int argc, char *argv[]) { CURL *curl; CURLcode res; st...
同一个局域网下有两个相同Mac地址的设备会怎样
孤独行者的专栏
09-03 9731
在数bai据链路层级上,数据是根据MAC地址转发的,如du果存在两个相zhi同的MAC地址则会产生冲突,两台机器dao都无法正常通信。也不是说一个包都发不出去,只是会丢包很严重,因为ARP协议在不停的刷新绑定关系,交换机也在不停的刷新地址表。 ...
htonll和ntohll函数的实现
孤独行者的专栏
05-21 9070
由于机器之间存在大小端的问题,所以需要一个统一的标准,那就是网络字节序,目前我们所知道的就是htonl,ntohl, htons,ntohs,这些用的比较多一些,对于long long类型还不知道怎么转换,下面我将给出具体解决办法,其实用到了htonl和ntohl和移位操作。 #include <stdio.h> #include <arpa/inet.h> #i...
wifi经典的AP与STA两种模式的使用及配置
孤独行者的专栏
04-16 6994
下面来介绍下wifi的两种经典模式的配置,ap模式和sta模式,加载ko的步骤省略了因为每个厂家不一样。 sta模式启动 killall wpa_supplicant killall udhcpc wpa_supplicant -iwlan0 -Dnl80211 -c/data/misc/wpa_supplicant.conf -B wpa_cli -i wlan0 add_networ...
加密证书签名证书和根证书区别
最新发布
06-08
签名证书一般由证书颁发机构颁发,用于证明签名的真实性和签名者的身份。 根证书是用于认证证书颁发机构证书,也称为信任锚点。所有的数字证书都必须由根证书颁发机构签发。根证书证书颁发机构的最高级别证书,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值