我们可能听说过有些企业或者个人使用的是自签名SSL证书,使用者常常也会说到自签名SSL证书成本低,创建方便,有效期时间长,省去了要定期签发的环节等等好处,听说过的人也是抱着好奇心想尝试使用,毕竟这么多好处摆在那儿,多少还是会有些让人心动。那么,自签名SSL证书真的像某些使用者说的那么好吗?使用了之后真的就能有效保障网站安全,让人高枕无忧?
要辨别这些问题,我们先需要对自签名SSL证书的定义做个了解。所谓的自签名SSL证书,就是使用openssl等工具创建的证书,然后应用在网站上,这些证书并不是由权威的CA机构颁发的,这种证书最大的特点就是签发随意,不受监督,不受约束,当然,这种证书最后就是难以被各大浏览器厂商和操作系统信任。由此,我们也就可以得知,这种证书的安全性难以得到保障,加密性较差,企业或者个人网站使用后会带来以下问题:
1. 网站被恶意利用
由于自签名SSL证书签发的随意性特点,给使用人带来便利的同时,也带来了安全隐患。使用人可以自己签发SSL证书,网络黑客也正是利用这一点,仿照使用者签发出一张完全一样的证书,来安装在钓鱼网站上,当网站访客访问钓鱼网站时,不明就里的访客可能就误以为是真实的网站,进而产生在线交易,最终导致客户的损失,同时,千辛万苦积累的网站的信誉度也会因此受到影响。
2. 网站不安全,易受攻击
前面提到过,自签名SSL证书不是经权威的CA机构签发,难以被各大浏览器厂商信任,所以安装了自签名SSL证书的网站,当用户在访问网站时,会弹出网站不安全的提示,警告用户访问该网站可能带来的风险,降低了用户的体验度。同时,私钥也形同虚设,网站也潜伏着安全风险,极易遭到网络攻击。
3. 证书有效期长,保密性差
自签名SSL证书有效期要远远大于权威CA机构签发的证书,一般少则几年,多则十几年;而大多数权威的CA机构签发的证书有效期是一年。之所以是一年的有效期,是因为考虑到证书保密的要求。如果签发的证书有效期过长,那么证书加密被破解的可能性就越大,保密性也就越差。由此来看,超长的有效期看似省去了每年都要重新审核签发的麻烦,但实际上却隐藏着安全问题。
4. 证书难以吊销
自签名SSL证书是没有可访问的吊销列表的,所以浏览器无法实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,那么该证书很可能被别有用心的人非法利用,造成损失。同时,浏览器对此还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
网站是企业对外展示自身形象的窗口,关系着企业的发展,权衡利弊选择一款权威性高的证书有助于保障网站的正常运行。JoySSL提醒广大客户:选择SSL证书一定要购买权威机构签发的证书,切不可贪图低成本没有质量安全保障的证书,否则会因小失大,造成不可挽回的损失