博客 > 什么是自签名证书?自签名SSL证书的优缺点?
浏览量:11620次评论:0次
作者:Anita时间:2022-06-23 10:37:35
自签名证书可以指许多不同的证书类型,包括SSL/TLS证书、S/MIME证书、代码签名证书等,其中最常见的证书类型是自签名 SSL证书。与CA颁发的SSL证书不同,自签名证书通常指的是那些未经第三方验证,直接上传到私有公钥基础结构(PKI)的证书文件。
自签名证书是由不受信的CA机构颁发的数字证书,也就是自己签发的证书。与受信任的CA签发的传统数字证书不同,自签名证书是由一些公司或软件开发商创建、颁发和签名的。虽然自签名证书使用的是与X.509证书相同的加密密钥对架构,但是却缺少受信任第三方(如 Sectigo)的验证。在颁发过程中缺乏独立验证会产生额外的风险,这就是为什么对于面向公众的网站和应用程序来说,自签名证书是不安全的。
虽然使用自签名证书有风险,但也有其用途。
虽然自签名证书看起来很方便,但这也是这些证书的主要问题之一,因为它们无法满足针对发现的漏洞进行安全更新,也不能满足当今现代企业安全所需的证书敏捷性。因此,很少人使用自签名SSL证书。此外,自签名证书无法撤销证书,如果证书被遗忘或保留在恶意行为者开放的系统上,则会暴露所使用的加密方法。不幸的是,即便如此,一些 IT 部门认为,证书颁发机构颁发的证书的成本超过了降低额外验证和漏洞支持的风险。
1、不受浏览器信任,易丢失用户。
每当用户访问使用自签名证书的站点时,他们会收到“不安全”警告,显示诸如“error_self_signed_cert”或“err_cert_authority_invalid”之类的错误,要求用户确认他们愿意承担风险继续浏览。这些警告会给网站访问者带来恐惧和不安,用户会认为该网站已被入侵,无法保护他们的数据,最后选择放弃浏览该站点转而访问不会提示安全警告的竞争对手网站。另外,不受浏览器信任的自签名证书,地址栏不会显示安全锁和HTTPS协议头。下图为SSL证书在浏览器地址栏中的状态显示,左边为自签名SSL证书,右边为受信CA颁发的SSL证书:
2、不安全。
由于自签名证书支持超长有效期,因此也无法在发现新的漏洞后进行安全更新,容易受到中间人攻击破解。自签名SSL证书没有可访问的吊销列表,也容易被黑客伪造、假冒网站利用,不能满足当前的安全策略,存在诸多的不安全隐患。
如前所述,使用自签名证书会带来很多风险,特别是在公共站点上使用自签名证书的风险更大。对于处理任何个人敏感信息的网站,包括健康、税务或财务记录等信息,万万不可使用自签名证书。类似这样的数据泄露会损害用户对品牌的信任度,还会遭到隐私法规的处罚,损害企业的经济利益。
许多人认为在公司内部的员工门户或通信站点部署自签名证书没有风险,但事实并非如此。因为在这些站点使用自签名证书仍会导致浏览器安全警告。虽然可以忽略这些警告,但却无意中助长了员工忽略安全警告的习惯。这种行为习惯可能会使企业今后面临更大的风险。
虽然我们不推荐企业使用自签名证书,但它也并不是没有用处。一般来说,自签名证书可以用于内部测试环境或限制外部人员访问的Web服务器。如果企业有内网SSL证书、用户证书、S/MIME证书、设备证书的数字认证需求,可以考虑 自建CA服务,它可让您轻松安全地管理自签发证书且无需高额的前期设备和系统投资,能够有效的降低维护成本,满足企业内部数字认证需求。
虽然自签名证书存在一定的安全隐患,但有它的优势,这里给大家分享一下创建自签名证书的方法。其实,创建自签名SSL证书很简单,主要取决于您的服务器环境,如Apache或Linux服务器。方法如下:
1、生成私钥
要创建SSL证书,需要私钥和证书签名请求(CSR)。您可以使用一些生成工具或向CA申请生成私钥,私钥是使用RSA和ECC等算法生成的加密密钥。生成RSA私钥的代码示例:openssl genrsa -aes256 -out servername.pass.key 4096,随后该命令会提示您输入密码。
2、生成CSR
私钥生成后,您的私钥文件现在将作为 servername.key 保存在您的当前目录中,并将用于生成CSR。自签名证书的CSR的代码示例:openssl req -nodes -new -key servername.key -out servername.csr。然后需要输入几条信息,包括组织、组织单位、国家、地区、城市和通用名称。通用名称即域名或IP地址。
输入此信息后,servername.csr 文件将位于当前目录中,其中包含 servername.key 私钥文件。
3、颁发证书
最后,使用server.key(私钥文件)和server.csr 文件生成新证书(.crt)。以下是生成新证书的命令示例:openssl x509 -req -sha256 -days 365 -in servername.csr -signkey servername.key -out servername.crt。最后,在您的当前目录中找到servername.crt文件即可。
创建自签名证书的方法很简单,不需要第三方验证。所以,它是可以在内部测试环境中使用,但不建议企业在用户环境中使用。企业或组织应该选择受信CA颁发的SSL证书,锐成信息提供Digicert、Sectigo、Globalsign等全球最受信的CA机构颁发的SSL证书,这些证书能帮助您规避用户流失、数据泄露和中间人攻击等安全风险。千万不要为了省小钱而花大钱,要有长远的眼光,才能获得长久的利益!
相关文章推荐
2024-04-29 14:37:50
2024-04-28 16:20:33
2024-04-28 13:58:43
2024-04-25 15:16:04
2024-04-24 15:17:58
为中小微企业定制的口粮型SSL证书
SSL证书品类
热门工具
标签选择
阅读排行
微信扫码沟通
资讯网女宝起名刘网站设计可以自学吗代表聪明的字男孩起名回来吧大叔 电影天堂食品店免费起名字大全极速影院电影天堂范晓东主演的电视剧小孩起名字检测男孩姓聂叫起什么名字好铭字起名好不好网上收费公司起名靠谱吗seo外包服务推广元宵节的故事八字算命合婚周易名字测试打分免费测名字打分武汉淘宝网站建设适合男生起名的字邹姓氏起名女孩自己怎么制作网站那金花和她女婿全集易经为什么可以算命农村常见中草药300种红色作文标题什么是seo论坛推广营销推广工作描述周易免费八字排盘钟鹿纯公司测字取名起名大全井字起名三个字网销蜂蜜营销推广少年生前被连续抽血16次?多部门介入两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”淀粉肠小王子日销售额涨超10倍高中生被打伤下体休学 邯郸通报单亲妈妈陷入热恋 14岁儿子报警何赛飞追着代拍打雅江山火三名扑火人员牺牲系谣言张家界的山上“长”满了韩国人?男孩8年未见母亲被告知被遗忘中国拥有亿元资产的家庭达13.3万户19岁小伙救下5人后溺亡 多方发声315晚会后胖东来又人满为患了张立群任西安交通大学校长“重生之我在北大当嫡校长”男子被猫抓伤后确诊“猫抓病”测试车高速逃费 小米:已补缴周杰伦一审败诉网易网友洛杉矶偶遇贾玲今日春分倪萍分享减重40斤方法七年后宇文玥被薅头发捞上岸许家印被限制高消费萧美琴窜访捷克 外交部回应联合利华开始重组专访95后高颜值猪保姆胖东来员工每周单休无小长假男子被流浪猫绊倒 投喂者赔24万小米汽车超级工厂正式揭幕黑马情侣提车了西双版纳热带植物园回应蜉蝣大爆发当地回应沈阳致3死车祸车主疑毒驾恒大被罚41.75亿到底怎么缴妈妈回应孩子在校撞护栏坠楼外国人感慨凌晨的中国很安全杨倩无缘巴黎奥运校方回应护栏损坏小学生课间坠楼房客欠租失踪 房东直发愁专家建议不必谈骨泥色变王树国卸任西安交大校长 师生送别手机成瘾是影响睡眠质量重要因素国产伟哥去年销售近13亿阿根廷将发行1万与2万面值的纸币兔狲“狲大娘”因病死亡遭遇山火的松茸之乡“开封王婆”爆火:促成四五十对奥巴马现身唐宁街 黑色着装引猜测考生莫言也上北大硕士复试名单了德国打算提及普京时仅用姓名天水麻辣烫把捣辣椒大爷累坏了
我的评论
还未登录? 点击登录