❶ 如何创建一个自签名的SSL证书
自签名SSL证书只适合内部使用或测试需要,网站使用自签名SSL证书存在极大的风险:
一:自签SSL证书最容易被假冒和伪造,被欺诈网站利用
自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!
二:部署自签SSL证书的网站,浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。
三:自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。
典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网,中间人可以截获用户的数据包,包括SSL数据包,并做一个假的服务器SSL证书与用户通信,从而截获用户输入的机密信息。当网站被假的SSL证书替换时,浏览器会警告用户此证书不受信任,需要用户确认是否信任此证书,用户习惯性点击“继续浏览”,中间人攻击轻而易举的实现了。
四:自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。
❷ 可以自己建立 SSL 证书用在自己的服务器上吗
可以自己建立SSL证书用在自己的服务器上,这种证书也叫自签名SSL证书,就是自己给自己颁发的,出于网站安全考虑,不建议使用这种SSL证书,因为它有很多缺点:
第一、被“有心者”利用。
其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假。
第二、浏览器会弹出警告,易遭受攻击
前面有提到自签名SSL证书是不受浏览器信任的,即使网站安装了自签名SSL证书,当用户访问时浏览器还是会持续弹出警告,让用户体验度大大降低。因它不是由CA进行验证签发的,所以CA是无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,从而给攻击者可乘之机。
第三、安装容易,吊销难
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
第四、超长有效期,时间越长越容易被破解
自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。
❸ 换成https是申请证书还是自建证书
从安全性和通用性考虑,建议向CA机构申请证书,自建证书,首先一个就是浏览回器不信任答,如果是用于对外访问的站点,那么无疑是自己断自己财路。自建证书,浏览器会阻止用户访问你的网站。
现在https证书也很便宜,基础级DV 证书才400多一年,推荐参考:http://www.wosign.com/price.htm
❹ 自己做的ssl证书和ca证书有什么区别
答案:区别与信任与不信任,安全与不安全。
解释原因:
受信任的SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。
自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏洞安全风险较高。
解决办法:进入淘宝中找到Gworg,申请CA可信的SSL证书认证。
❺ 如何创建一个自签名的ssl证书
一、自签名SSL证书浏览器不信任、没有加密套件(这种情况下还不如HTTP来的安全)任何人都可以创建1个与您相同的证书,没有机构管制。
二、确定好需要的域名,并且登陆CA机构办理合法SSL证书:网页链接
❻ 自己制作的ssl证书与购买的ssl证书有什么区别呀!
自己制作来的ssl证书也叫自签名证书,自是由创建它的人签署的证书,而不是由受信任的证书机构签发的证书。
自签名证书与受信任的SSL证书的区别在于:自签名证书普遍存在严重的安全漏洞,极易受到攻击,而且通常不受浏览器信任。因此,不建议大家使用自签名证书,以免造成巨大的安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统。而受信任的SSL证书的就不存在这个情况。
使用自签名证书两个主要的弊端:
1)访问者的连接可能会被劫持,从而攻击者便能查看所有发送的数据(因此违背了加密连接的目的)
2)证书不能向受信任的证书那样进行撤销。
❼ 怎么自己生成SSL证书并且在服务器里配置
不起作用,并不会被浏览器信任,反而增加了很多不安全因素。
创建自签名证书的步骤
注意:以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步:生成私钥
使用openssl工具生成一个RSA私钥
$ openssl genrsa -des3 -out server.key 2048
说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。
注意:生成私钥,需要提供一个至少4位的密码。
第2步:生成CSR(证书签名请求)
生成私钥之后,便可以创建csr文件了。
此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书(很贵)。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名,具体操作如下:
$ openssl req -new -key server.key -out server.csr
说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:删除私钥中的密码
在第1步创建私钥的过程中,由于必须要指定一个密码。而这个密码会带来一个副作用,那就是在每次Apache启动Web服务器时,都会要求输入密码,这显然非常不方便。要删除私钥中的密码,操作如下:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自签名证书
如果你不想花钱让CA签名,或者只是测试SSL的具体实现。那么,现在便可以着手生成一个自签名的证书了。
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
说明:crt上有证书持有人的信息,持有人的公钥,以及签署者的签名等信息。当用户安装了证书之后,便意味着信任了这份证书,同时拥有了其中的公钥。证书上会说明用途,例如服务器认证,客户端认证,或者签署其他证书。当系统收到一份新的证书的时候,证书会说明,是由谁签署的。如果这个签署者确实可以签署其他证书,并且收到证书上的签名和签署者的公钥可以对上的时候,系统就自动信任新的证书。
第5步:安装私钥和证书
将私钥和证书文件复制到Apache的配置目录下即可,在Mac 10.10系统中,复制到/etc/apache2/目录中即可。
需要注意的是,在使用自签名证书时,浏览器会提示证书不受信任,如果你是对外网站使用,建议还是去CA机构申请可信的SSL证书。
❽ 如何自己做一个https的证书
https证书就是SSL证书的别称,因此自己做的https证书也称为自签名SSL证书。内这种证书具有随意签发性,自己容可以给自己签发,没有任何约束,是无法被浏览器信任的,所以不建议使用。
如果要给网站安装https证书,建议去正规的CA机构申请一个,安全有保障。
❾ 自建https 此网站的安全证书有问题 怎么解决
自建HTTPS证书,也称自签证书,类似于12306使用的证书,这种自签证书是不被浏览器和操作系统信任的,访问时会提示此网站的安全证书有问题,你需要在客户端安装根证书才可以解决提示。还有另外一种方法就是到合法的CA机构申请合法可信的HTTPS证书,浏览器信任,更加安全可信。参考解决办法:https://www.wosign.com/faq/faq2016-0307-01.htm
❿ 为什么“部署自签SSL证书非常不安全”
自签名SSL证书缺点如下:
1、自签SSL证书最容易被假冒和伪造,被欺诈网站利用
自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站!
2、部署自签SSL证书的网站,浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的,用户访问部署了自签SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。
3、自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。
4、自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。
5、自签SSL证书支持超长有效期,时间越长越容易被破解
自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年甚至30年。因为自签证书制作无成本无监管,想签发几年就签发几年,而根本不知道PKI技术标准限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。