自签名证书怎么样,会有风险吗?
发布日期:2018-11-19自签名证书是一种你使用像openssl那样的工具,在本地创建而不是从公共证书机构(CA)那里申请来的证书。几乎没有人还在面向公众的网站上使用自签名证书(因为它们没有包含在主要浏览器的可信存储中,并且会向网络访问者触发一个警告)。然而,仍旧有一些企业还在其网络中使用它们,或者将其用于开发运维中的测试环境。
然而,有些人仍旧认为自签名证书在本质上是危险的,因为它们在相同的实体中同时包含了公有和私有密钥。从这种意义上来说,自签名证书是不会受到广泛信任的,就像由公共证书机构等值得信任的第三方机构所签发的证书那样。但是一些安全专家感到,内部使用曝光是相对有限的。McAfee实验室的研究人员指出,自签名证书是那种在没有私有密钥的情况下便不能生成的独一无二的证书。他们继续指出,潜在的曝光可能是有限的,即使密钥被泄露了。
“被破坏的证书”将会被扔掉,从服务中移除出去,因为它不能用来在双方之间建立信任。因为旧有的证书是自签名的,所有它也不会用于其他用途,比如TLS服务器端身份认证。”
这可能是真的,但是在被替换掉了之后,被破坏的证书会发生什么情况呢?因为它不是由证书机构签发的,所以不能进行撤销和禁用。最好的情况下,你最终可能会获得大量坏死的、既不能使用也不能避免证书。最坏的情况下,你可能因过期的证书而遭受崩溃事故,而这你甚至都不知道,并且无法定位。
这意味着你在使用自签名证书时必须慎重考虑。根据部署情况的不同,自签名证书甚至可能不会被设置为过期(永远!)但是让我们假设你在生成自签名证书时确实指定了一个过期日期。这太好了!但是没有机制会告诉你它们将在何时过期,就像公共CA或第三方管理系统会做的那样。(在一个对证书的存在一无所知的新的管理之下,这个有效期可能是10年)。
的确,一对一的加密是相对安全的。但是它的安全程度只会与你管理和监控它的能力相当。为了维持安全态势,你必须能够检测到自签名证书遭受到了攻击,发现被暴露的证书并生成新的证书。这可能说起来容易做起来难。因为自签名证书没有处于独立签发机构的保护之下,所以众所周知,它们是很难在你的网站中进行定位的。
TechRepublic的专家建议到:
“如果你选择为你的内部服务器使用自签名证书,你必须确保你的签发证书机构的服务器是安全的——非常安全。你不仅需要确保CA服务器是安全的,不会受到恶意网络流量的影响,你还需要确保它存储在了一个任何人都不能进行访问的位置。你不会想要任何员工访问这个CA服务器,为什么?如果你的CA根证书落到了坏人手中,对这些内部LAN才能访问的服务来说,事情可能很快急转直下。”
因此,考虑到自签名证书存在的好处和风险,这是我认为的底线。除非你拥有需要其来管理和保护自签名证书的、训练有素的PKI员工,这可能是不值得的。
用Teresa Wingfield的话来说:
“一些企业试图通过编写自定义软件来自动化SSL安全工作流,但是大多数企业都是手动管理流程的。这需要高技能人才和值得信赖的员工花费大量的时间和精力,而这些员工可能意味着是薪水更高的高级雇员。”
无论你是否决定使用自签名证书,将其作为机器身份保护策略的一部分,你都总是应当遵循一些最佳实践。密切关注加密套件和其他属性。跟踪企业中的所有证书。持续监控所有证书的状态和使用情况。自动化完整的证书生命周期,以确保最大的可用性和可靠性。
以上,是为大家分享的“自签名证书怎么样,会有风险吗”的全部内容,如果用户遇到的问题不能解决,可通过wosign官网客服寻求帮助,凡是选择wosign ssl证书的网站用户,wosign可提供免费一对一的ssl证书技术部署支持,免除后顾之忧。
相关内容
目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。
自签名的SSL证书怎么配置?自签SSL证书,是指不受信任的任意机构或个人,使用工具自己签发的SSL证书。自签名SSL证书可以随意签发,没有第三方监督审核,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。那么自签名的SSL证书怎么配置,如何部署?
最新资讯
Wireshark如何解密经tls加密的web报文(实战教程)
在HTTP页面输入数据,Chrome 70将显示红色不安全警告
标签推荐:https免费证书 | 域名ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新| 小程序证书| 驱动数字签名| 个人代码签名| 微软代码签名| android数字签名| java代码签名