ssl自簽名證書

1. 什麼是自簽名SSL證書

自己生成的SSL證書，不是CA機構頒發的SSL證書，稱之為自簽名證書。

解釋原因：回

1. 受信任的SSL證書：會答被瀏覽器信任認可，安全加密服務與安全掃描相關CA配套服務。

2. 自簽署的SSL證書：不會被瀏覽器信任，數據被泄漏級劫持安全漏洞安全風險較高。

自簽名主要風險：

1. 瀏覽器的地址欄會提示風險不安全網站。

2. 小程序或APP無法應用與支持。

3. 無法實現信用與介面交易行為。

4. 網頁會被劫持，被強制插入廣告或跳轉到其它網頁。

5. 用戶數據明文傳輸，隱私信息被中間劫持。

6. 極容易被劫持和釣魚攻擊。

自簽名安全隱患：

1. 自簽證書最容易受到SSL中間人攻擊

2. 自簽證書支持不安全的SSL通信重新協商機制

3. 自簽證書支持非常不安全的SSL V2.0協議

4. 自簽證書沒有可訪問的吊銷列表

5. 自簽證書使用不安全的1024位非對稱密鑰對

6. 自簽證書證書有效期太長

7. 自簽證書普遍存在嚴重的安全漏洞，極易受到攻擊

解決方法：Gworg申請可信SSL證書。

2. 自簽名SSL證書有哪些風險

1、自簽SSL證書最容易被假冒和偽造，被欺詐網站利用
自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

2、部署自簽SSL證書的網站，瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

3、自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站，遇到瀏覽器警告提示時，網站通常會告知用戶點擊「繼續瀏覽」，用戶逐漸養成了忽略瀏覽器警告提示的習慣，這就給了中間人攻擊可乘之機，使網站更容易受到中間人攻擊。

4、自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書並不難，使用OpenSSL幾分鍾就搞定，但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作，其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等，證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態，一旦證書丟失或被盜而無法吊銷，就極有可能被用於非法用途而讓用戶蒙受損失。此外，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的安全警告，大大延長瀏覽器的處理時間，影響網頁的流量速度。

5、自簽SSL證書支持超長有效期，時間越長越容易被破解
自簽證書中還有一個普遍的問題是證書有效期太長，短則5年，長則20年甚至30年。因為自簽證書製作無成本無監管，想簽發幾年就簽發幾年，而根本不知道PKI技術標准限制證書有效期的基本原理是：有效期越長，就越有可能被黑客破解，因為他有足夠長的時間(20年)來破解你的加密。

3. 自簽名證書HTTPS

自簽名證書不合法，不會被瀏覽器信任。只有瀏覽器信任的CA機構簽發證書才會信任。專

申請可信的HTTPS（SSL證書屬）：

1. 首先擁有域名，並且該域名可以正常解析使用。

2. 進入淘寶裡面找到：Gworg

3. 選擇SSL證書確定後，根據要求完成域名認證。（DNS解析認證）

4. 獲得可信SSL證書配置到伺服器就可以實現HTTPS。
   

解決辦法：Gworg獲得合法的SSL證書。

4. 自簽名SSL證書有風險嗎，具體指什麼

自簽名有風險。

解釋原因：

• 受信任的SSL證書：會被瀏覽器信任認可，安全加密回服務與安全掃描相關答CA配套服務。

• 自簽署的SSL證書：不會被瀏覽器信任，數據被泄漏級劫持安全漏洞安全風險較高。

主要風險：

• 瀏覽器的地址欄會提示風險不安全網站。

• 小程序或APP無法應用與支持。

• 無法實現信用與介面交易行為。

• 網頁會被劫持，被強制插入廣告或跳轉到其它網頁。

• 用戶數據明文傳輸，隱私信息被中間劫持。

• 極容易被劫持和釣魚攻擊。

安全隱患：

• 自簽證書最容易受到SSL中間人攻擊

• 自簽證書支持不安全的SSL通信重新協商機制

• 自簽證書支持非常不安全的SSL V2.0協議

• 自簽證書沒有可訪問的吊銷列表

• 自簽證書使用不安全的1024位非對稱密鑰對

• 自簽證書證書有效期太長

• 自簽證書普遍存在嚴重的安全漏洞，極易受到攻擊

5. 如何創建一個自簽名的SSL證書

創建自簽名證書的步驟

注意：以下步驟僅用於配置內部使用或測試需要的SSL證書。

第1步：生成私鑰

使用openssl工具生成一個RSA私鑰

$ openssl genrsa -des3 -out server.key 2048

說明：生成rsa私鑰，des3演算法，2048位強度，server.key是秘鑰文件名。

注意：生成私鑰，需要提供一個至少4位的密碼。

第2步：生成CSR（證書簽名請求）

生成私鑰之後，便可以創建csr文件了。

此時可以有兩種選擇。理想情況下，可以將證書發送給證書頒發機構（CA），CA驗證過請求者的身份之後，會出具簽名證書（很貴）。另外，如果只是內部或者測試需求，也可以使用OpenSSL實現自簽名，具體操作如下：

$ openssl req -new -key server.key -out server.csr

說明：需要依次輸入國家，地區，城市，組織，組織單位，Common Name和Email。其中Common Name，可以寫自己的名字或者域名，如果要支持https，Common Name應該與域名保持一致，否則會引起瀏覽器警告。

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Beijing

Locality Name (eg, city) []:Beijing

Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios

Organizational Unit Name (eg, section) []:info technology

Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com

Email Address []:[email protected]

第3步：刪除私鑰中的密碼

在第1步創建私鑰的過程中，由於必須要指定一個密碼。而這個密碼會帶來一個副作用，那就是在每次Apache啟動Web伺服器時，都會要求輸入密碼，這顯然非常不方便。要刪除私鑰中的密碼，操作如下：

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

第4步：生成自簽名證書

如果你不想花錢讓CA簽名，或者只是測試SSL的具體實現。那麼，現在便可以著手生成一個自簽名的證書了。

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

說明：crt上有證書持有人的信息，持有人的公鑰，以及簽署者的簽名等信息。當用戶安裝了證書之後，便意味著信任了這份證書，同時擁有了其中的公鑰。證書上會說明用途，例如伺服器認證，客戶端認證，或者簽署其他證書。當系統收到一份新的證書的時候，證書會說明，是由誰簽署的。如果這個簽署者確實可以簽署其他證書，並且收到證書上的簽名和簽署者的公鑰可以對上的時候，系統就自動信任新的證書。

第5步：安裝私鑰和證書

將私鑰和證書文件復制到Apache的配置目錄下即可，在Mac 10.10系統中，復制到/etc/apache2/目錄中即可。

需要注意的是，在使用自簽名證書時，瀏覽器會提示證書不受信任，如果你是對外網站使用，建議還是去CA機構申請可信的SSL證書。

6. 自簽名證書和私有CA簽名的證書的區別 創建

自簽名證書是由創建它的人簽署的證書，而不是由受信任的證書機構簽發專的證書。自簽名證書普遍存屬在嚴重的安全漏洞，極易受到攻擊，而且通常不受瀏覽器信任。因此，不建議大家使用自簽名證書，以免造成巨大的安全隱患和安全風險，特別是重要的網銀系統、網上證券系統和電子商務系統。
使用自簽名證書兩個主要的弊端：
1）訪問者的連接可能會被劫持，從而攻擊者便能查看所有發送的數據（因此違背了加密連接的目的）
2）證書不能向受信任的證書那樣進行撤銷。

7. 如何創建一個自簽名的SSL證書

一、自簽名SSL證書瀏覽器不信任、沒有加密套件（這種情況下還不如HTTP來的安全）任何人都可以創建1個與您相同的證書，沒有機構管制。

二、確定好需要的域名，並且登陸CA機構辦理合法SSL證書：網頁鏈接

8. 如何添加自簽名SSL證書 自簽名SSL證書存風險

所謂自簽SSL證書，是指不受信任的任意機構或個人，使用工具自己簽發的SSL證書。自簽名SSL證書可以隨意簽發，沒有第三方監督審核，不受瀏覽器和操作系統信任，常被用於偽造證書進行中間人攻擊，劫持SSL加密流量。很多網站為了節約成本，採用自簽名SSL證書，其實是給自己的網站埋下了一顆定時炸彈，隨時可能被黑客利用。

網站使用自簽SSL證書存在極大的風險，主要來自以下幾個方面：

自簽SSL證書最容易被假冒和偽造，被欺詐網站利用

自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

而權威CA機構受國際標准組織審計監督，不可隨意簽發證書，必須嚴格認證申請者身份才能簽發全球唯一的證書，不會出現被偽造的問題。正規SSL證書支持所有瀏覽器，由瀏覽器內置的可靠驗證機制，自動識別SSL證書的真實信息和證書狀態，如果出現證書綁定域名與實際域名不符、證書已吊銷或已過期等異常情況，瀏覽器會自動發出警告提醒用戶「此網站安全證書存在問題」，假冒網站無處遁形！

部署自簽SSL證書的網站，瀏覽器會持續彈出警告

自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

光網Gworg是全球信任的CA機構，連續多年通過Webtrust國際審計，嚴格按照國際標准驗證審核，可簽發的正規SSL證書，支持所有瀏覽器。必須通過審核才能簽發，不能隨意獲取。光網CA全球獨家提供2年期多域名SSL證書，讓所有網站都能啟用全球信任的SSL證書加密，保護用戶數據傳輸安全，無需再使用自簽證書。也可以淘寶搜索：Gworg獲取證書。

9. 如何創建一個自簽名的SSL證書

自簽名SSL證書存在很大的安全隱患和風險，不建議大家安裝。具體風險如下：
第一、被「有心者」利用
其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發，那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性，分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上，讓訪客們分不清孰真孰假。
第二、瀏覽器會彈出警告，易遭受攻擊
前面有提到自簽名SSL證書是不受瀏覽器信任的，即使網站安裝了自簽名SSL證書，當用戶訪問時瀏覽器還是會持續彈出警告，讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的，所以CA是無法識別簽名者並且不會信任它，因此私鑰也形同虛設，網站的安全性會大大降低，從而給攻擊者可乘之機。
第三、安裝容易，吊銷難
自簽名SSL證書是沒有可訪問的吊銷列表的，所以它不具備讓瀏覽器實時查驗證書的狀態，一旦證書丟失或者被盜而無法吊銷，就很有可能被用於非法用途從而讓用戶蒙受損失。同時，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的警告，不僅降低了網頁的瀏覽速度，還大大降低了訪問者對網站的信任度。
第四、超長有效期，時間越長越容易被破解
自簽名SSL證書的有效期特別長，短則幾年，長則幾十年，想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年，因為時間越長，就越有可能被黑客破解。所以超長有效期是它的一個弊端。

10. 如何創建一個自簽名的SSL證書

使用openSSL生成自簽名CA和自簽名證書：網頁鏈接

自簽名SSL證書安全隱患及安全風險：網頁鏈接