标准SSL证书由受信任的证书颁发机构(CA)颁发和验证,此类证书使用信任链,其中每个证书都由更可靠的证书签名和信任,此链一直延伸到根证书。SSL证书一般需要付费使用,以致很多没有安全预算的企业选择在网站上使用免费的自签名证书。那么自签名SSL证书是什么呢?自签名SSL证书安全吗?
一、自签名SSL证书介绍
谷歌已宣布自签名SSL证书不会被视为HTTPS信号。2014年8月,谷歌宣布使用HTTPS /
SSL的网站将获得SERP的排名提升,但谷歌调查自签名证书由于其较低的安全性和信任因素而不值得作为HTTPS排名信号。最后,他们决定从HTTPS排名信号中标记它。
自签名SSL证书是使用openssl等工具创建的证书,而不是从第三方证书颁发机构(CA)获取的,它不使用信任链。一般自签名SSL证书适合用于测试目的和内部LAN服务,通常不建议在公众可访问的任何网站上使用自签名SSL证书。ssl证书申请可以在蔚可云申请。
二、自签名SSL证书存在安全隐患
在公钥加密基础设施(PKI)中,证书颁发机构(CA)必须信任证书签名者以保护私钥并通过互联网在线传输信息。但是在自签名SSL证书的情况下,CA无法识别签名者并且不会信任它,因此私钥将不再保持安全并且也会受到损害,这助长了网络犯罪分子攻击网站并窃取信息的行为。
⌈ 自签名SSL证书存在的缺点 ⌋:
· 应用程序/操作系统不信任自签名证书,这可能会导致身份验证错误等。
· 自签名证书可使用低哈希和密码技术。因此,自签名证书的安全级别可能不满足当前的安全策略等。
· 不支持高级PKI(公钥基础结构)功能,例如在线检查撤销列表等。
· 自签证书的有效期通常为1年,这些证书需要每年更新/更换,这是一个很难维护的问题。
⌈ 在公共站点上使用自签名SSL证书的风险 ⌋:
与自签名SSL证书相关联的安全警告会驱逐潜在客户,因为担心网站无法保护其凭据,从而使得品牌声誉和客户信任都受到损害。
⌈ 在内部网站上使用自签名SSL证书的风险 ⌋:
在公共站点上使用自签名证书的危险很明显,在内部使用它们同样存在风险。内部站点(例如员工门户)上的自签名证书仍会导致浏览器警告。许多组织建议员工忽略警告,因为他们知道内部站点是安全的,但这可能会鼓励危险的公共浏览行为。习惯于忽略内部站点警告的员工可能倾向于忽略公共站点上的警告,使他们和您的组织容易受到恶意软件和其他威胁的攻击。
如果在电子商务网站上安装了自签名SSL证书,用户将感受到数据和信息被盗的风险并退出购物,这也会影响在线业务和所有者的声誉。收集用户敏感信息和个人信息的网站不应安装自签名SSL证书。银行、电子商务、社交媒体、医疗保健、政府部门就是其中之一。
776
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
