自簽名證書是指不受信任的任意機構或個人,使用OpenSSL相關工具自己簽發的SSL證書。由於自簽名SSL證書不是從可信的證書管理機構CA頒發的,所以不受瀏覽器信任,存在嚴重的安全漏洞,安裝此類證書的網站容易受到攻擊。
、自簽名證書容易受到中間人攻擊
自簽名SSL證書不被瀏覽器信任,所以用戶在訪問自簽名證書網站時,瀏覽器會發出安全警告提示用戶此證書不受信任,需要人工確認是否信任該證書,用戶只有點擊信任後纔可繼續瀏覽網站,這就給中間人攻擊埋下了隱患。
SSL中間人攻擊通常指的是中間人和用戶或服務器在同一個局域網,中間人可以截獲用戶的SSL數據包,從而做出個假的服務器SSL證書與用戶通信,從而獲取用戶輸入的賬戶及密碼等隱私信息。如果服務器使用的是自簽名證書,用戶會以爲要繼續點信任進行下一步,極大可能會點了攻擊者創建的假證書,這樣重要的賬戶密碼等信息就被攻擊者獲取了,帶來極大的安全風險,所以不建議用自簽名證書。
2、自簽名證書容易被假冒和僞造,被釣魚網站利用
自簽名SSL證書沒有第三方機構(CA機構)監督審覈,可以隨意簽發,從而容易被攻擊者假冒和僞造,用在釣魚網站上,給訪問者帶來損失。
使用可信CA機構頒發的SSL證書,可以通過各大瀏覽器安全審覈,具有唯一性,是不可以僞造的,一旦釣魚網站使用僞造證書,瀏覽器有一套可靠的安全驗證機制,會自動識別出僞造證書從而彈出安全警告提示用戶此證書不受信任,建議立即停止瀏覽。
3、自簽名證書沒有可訪問的吊銷列表
生成自簽名SSL證書非常簡單,使用OpenSSL工具幾分鐘創建完成。我們知道要保證SSL證書正常工作,其中一箇必要功能是證書中帶有瀏覽器可訪問的證書吊銷列表,如果沒有有效的吊銷列表,則當證書丟失或被盜而無法吊銷,就極有可能被用於非法用途而讓用戶蒙受損失。
由於自簽名SSL證書存在着諸多的安全風險隱患,所以強烈建議網站不要使用自簽名證書。推薦使用受信任的CA機構(DigiCet、GeoTust、GloblSign等)提供的安全性高兼容性強的SSL證書,如果您的網站涉及資金交易,最好使用安全等級最高的EV SSL證書,能有效地保障用戶資金交易安全性。