SSL自签名证书

SSL自签名证书

1.漏洞描述

1.1.漏洞名称

漏洞名称：SSL自签名证书

漏洞描述：此服务的X.509证书链不是由公认的证书颁发机构签名的。

CVSS评分：6.5

1.2.介绍

受信任的SSL证书：会被浏览器信任认可，安全加密服务与安全扫描相关CA配套服务。

自签署的SSL证书：不会被浏览器信任，数据被泄漏级劫持安全漏洞安全风险较高。

1.3.漏洞成因

许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书（自建PKI系统颁发的SSL证书），而不是部署支持浏览器的SSL证书。自签证书普遍存在严重的安全漏洞，极易受到攻击：

1. 自签证书最容易被假冒和伪造，而被欺诈网站所利用。

一旦欺诈网站使用伪造证书(证书信息一样)，由于浏览器有一套可靠的验证机制，会自动识别出伪造证书而警告用户此证书不受信任，可能试图欺骗或截获向服务器发送的数据。

2. 自签证书最容易受到SSL中间人攻击。

自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。

3. 自签证书支持不安全的SSL通信重新协商机制。

由于自签证书系统并没有跟踪最新的技术而没有及时补漏，几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞，这是SSL协议的安全漏洞。

4. 自签证书支持非常不安全的SSL V2.0协议

SSL v2.0协议是最早出台的协议，存在许多安全漏洞问题

这也是部署自签SSL证书服务器中普遍存在的问题。

5. 自签证书没有可访问的吊销列表。

6. 自签证书使用不安全的1024位非对称密钥对。

7. 自签证书证书有效期太长。

2.漏洞危害

1）浏览器会持续弹出警告

因为绝大部分浏览器都不信任自签名证书，在连接到https网站时会显示不可信连接警告，这样不利于用户体验度，会兼职导致潜在用户的流失。

2）没有任何保修

第三方CA对证书误发情况下的某些损失提供保修，这取决于购买的SSL证书类型，范围在 10,000 美元到 1,750,000 美元之间，而自签名https证书不提供任何保修保护。

3）容易被仿冒

自签名SSL证书缺乏真实性，因此攻击者可以用攻击者自己的证书替换自签名证书。但是，浏览器将不知道它是使用正确的SSL证书还是替换的证书进行通信。

4）没有可访问的吊销列表，很难被吊销

因为加密和解密都可能存在潜在的安全漏洞，如果CA机构发现被盗的证书，他们有权随时撤销证书，以防止未经授权的访问造成进一步的损害，但是自签名SSL证书在未管理的情况下很难吊销。

3.漏洞修复

1. 为此服务购买或生成适当的SSL证书。

2. 使用支持浏览器的SSL证书（颁发给用户的证书是全球唯一的可以信任的证书，是不可以伪造的）