首页>最新数字证书问答>自己如何生成SSL证书?能用吗?

自己如何生成SSL证书?能用吗?

现在很多用户都会想着自己生成SSL证书(即自签名SSL证书),这样可以不用花钱购买就能使用上SSL证书,省去了一大笔开销。殊不知,自己生成的SSL证书并没有那么好用,这是为什么呢?

我们先来了解一下自己如何生成SSL证书。

自己生成SSL证书可以通过OpenSSL的Keytool、Adobe Reader和Apple的密钥链等工具来创建,流程如下:

创建RSA私钥——生成CSR文件(可以使用OpenSSL工具包生成RSA私钥以及CSR文件)——从密钥中删除密码短语——生成自签名SSL证书

自己生成SSL证书之后,安装到服务器上,就可以启用了。

虽然目前还是有很多用户在使用自己生成的SSL证书,但是站在安全的角度考虑,不建议使用,因为它有很多的缺点:

1、生成无门槛,容易被假冒或伪造

自己生成SSL证书因为没有门槛,所以任何人都可以生成,那些不怀好意的人可以做成跟你的证书一模一样,就非常方便地伪造成为有一样证书的假冒网站了。

2、很容易受到SSL中间人攻击

自己生成的SSL证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可趁之机,非常不安全。

3、有效期太长,容易被破解

自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱,就多发几年吧,而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间来破解你的加密。

4、没有可访问的吊销列表

这是自己生成的SSL证书普遍存在的问题。虽然使用OpenSSL生成证书几分钟就能搞定,但是真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。

所以,为了您的网站安全,请勿使用自己生成的SSL证书。建议申请由正规的CA机构颁发的SSL证书,像GeoTrust、Globalsign等都是不错的选择。

最新资讯

沃通SSL证书OCSP本地化部署,为HTTPS加密提速

微软弃用内核驱动交叉根证书公告

20%的恶意网站未列入黑名单,用户如何防范?

Chrome将逐步阻止HTTPS页面的HTTP资源下载

警惕东京奥运会门票虚假倒卖网站,用EV SSL证书反钓鱼

Let’s encrypt吊销300万张证书,免费SSL证书真的免费吗?

标签推荐:ssl证书过期 | https配置 | java电子签名| 数字签名技术| 电子签名软件| 电子签名app| 电子签名软件| ca认证电子签名| 个人代码签名| 微软代码签名| 泛域名证书| java代码签名| 代码签名证书| https证书配置| PKI技术知识| SQL注入| openssl漏洞| 识别钓鱼网站