目前,有许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书,即自建PKI系统颁发的SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。主要问题有:
1.自签证书最容易被假冒和伪造,而被欺诈网站所利用。
2. 自签证书最容易受到SSL中间人攻击。
3. 自签证书支持不安全的SSL通信重新协商机制。
4. 自签证书支持非常不安全的SSL V2.0协议。
5. 自签证书没有可访问的吊销列表。
6. 自签证书使用不安全的1024位非对称密钥对。
7. 自签证书证书有效期太长。也许你会问,为何所有Windows受信任的根证书有效期都是20年或30年?好问题!因为:一是根证书密钥生成后是离线锁保险柜的,并不像用户证书一样一直挂在网上;其二是根证书采用更高的密钥长度和更安全的专用硬件加密模块。总之,为了您的重要系统安全,请千万不要使用自签的SSL证书,从而带来巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。欢迎选购景安WoSign品牌全线支持4096-2048位加密长度的SSL证书!
Java Verified 是用于申请 Symbian Java 认证(Certified Signed)所须的代码签名证书。Java Verified 证书有效期为一年。
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安
SSL证书
全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
SSL证书的功能
a 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。 b 保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。 其实现原理图如下图1所示: 在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和最低128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。 最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。
SSL证书分类
SSL证书依据功能和品牌不同分类有所不同,但SSL证书作为国际通用的产品,最为重要的便是产品兼容性(即证书根预埋技术),因为他解决了网民登录网站的信任问题,网民可以通过SSL证书轻松识别网站的真实身份。目前国际上,常见的证书品牌如VeriSign、GeoTrust等均可以实现该技术。我们以VeriSign证书为例,该类证书分为如下品类:
1、VeriSign 128位SSL支持型证书(VeriSign Secure Site)
2、VeriSign 128位SSL强制型证书(VeriSign Secure Site Pro)
3、VeriSign 128位EV SSL支持型证书(VeriSign Secure Site with EV):支持绿色地址栏技术
4、VeriSign 128位EV SSL强制型证书(VeriSign Secure Site Pro with EV ):支持绿色地址栏技术
自签名SSL证书不安全,存在安全隐患,并且浏览器也不支持,你可以去申请由CA机构签发的,全球可信,支持所有浏览器的免费SSL证书,比如沃通免费SSL证书,starssl免费证书等,都不错。
目前,有一些公司或者个人出于成本的考虑,会选择使用自签名SSL证书,即不受信任的任意机构或个人,使用工具自己签发的SSL证书,这绝对是得不偿失的重大决策失误。
自签证书普遍存在严重的安全漏洞,极易受到攻击。一旦使用这种随意签发的、不受监督信任的证书,就很容易被黑客伪造用来攻击或者劫持站点流量。
使用自签名SSL证书的危害:
自签证书最容易被假冒和伪造,而被欺诈网站所利用。
自签证书最容易受到SSL中间人攻击
自签证书支持不安全的SSL通信重新协商机制
自签证书支持非常不安全的SSL V2.0协议
自签证书没有可访问的吊销列表
自签证书使用不安全的1024位非对称密钥对
自签证书证书有效期太长。一般在安信SSL证书上申请SSL证书,都是由受信任的CA机构签发的SSL证书有效期不会超过1年,因为时间越长,就越有可能被黑客破解。
所以总的来说,一般都是不建议使用自签名SSL证书的,对网站信息几乎起不到任何的保护作用,要想保护网站的安全问题,千万不能贪图便宜选择免费SSL证书。要是流量大的个人网站或者是企业网站的话,还是选择付费的SSL证书更有保障。
答案:区别与信任与不信任,安全与不安全。
解释原因:
1. 受信任的SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。
2. 自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏洞安全风险较高。解决办法:进入淘宝中找到,申请CA可信的SSL证书认证。
1、自签SSL证书最容易被假冒和伪造,被欺诈网站利用
自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!
2、部署自签SSL证书的网站,浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。
3、自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。
4、自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。
5、自签SSL证书支持超长有效期,时间越长越容易被破解
自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年甚至30年。因为自签证书制作无成本无监管,想签发几年就签发几年,而根本不知道PKI技术标准限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。
SSL证书就是网站证书。只是前者是从技术角度命名,后者是从用途角度命名的。
SSL (Secure Socket Layer)
为Netscape所研发,用以保障在上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之
I.E.或Netscape浏览器即可支持SSL。
当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
可以自签名IP地址证书,当然这个证书是表面的,不会被浏览器信任,也不存在真正意义上面的加密,可以理解为只是一种表面现象。