應(yīng)用內(nèi)置 HTTPS 自制證書是否比簽發(fā)證書不安全？

時間：2024-01-14 19:42:01 | 來源：網(wǎng)站運營

時間：2024-01-14 19:42:01 來源：網(wǎng)站運營

應(yīng)用內(nèi)置 HTTPS 自制證書是否比簽發(fā)證書不安全？：題主說的自制https證書其實就是自簽證書，自簽證書成本低，比較受小微企業(yè)網(wǎng)站及個人歡迎。但是自簽證書不受瀏覽器信任，安裝后會有很多弊端及不足：

1. 網(wǎng)站被惡意利用

由于自簽名SSL證書簽發(fā)的隨意性特點，給使用人帶來便利的同時，也帶來了安全隱患。使用人可以自己簽發(fā)SSL證書，網(wǎng)絡(luò)黑客也正是利用這一點，仿照使用者簽發(fā)出一張完全一樣的證書，來安裝在釣魚網(wǎng)站上，當網(wǎng)站訪客訪問釣魚網(wǎng)站時，不明就里的訪客可能就誤以為是真實的網(wǎng)站，進而產(chǎn)生在線交易，最終導(dǎo)致客戶的損失，同時，千辛萬苦積累的網(wǎng)站的信譽度也會因此受到影響。

2. 網(wǎng)站不安全，易受攻擊

前面提到過，自簽名SSL證書不是經(jīng)權(quán)威的CA機構(gòu)簽發(fā)，難以被各大瀏覽器廠商信任，所以安裝了自簽名SSL證書的網(wǎng)站，當用戶在訪問網(wǎng)站時，會彈出網(wǎng)站不安全的提示，警告用戶訪問該網(wǎng)站可能帶來的風(fēng)險，降低了用戶的體驗度。同時，私鑰也形同虛設(shè)，網(wǎng)站也潛伏著安全風(fēng)險，極易遭到網(wǎng)絡(luò)攻擊。

3. 證書有效期長，保密性差

自簽名SSL證書有效期要遠遠大于權(quán)威CA機構(gòu)簽發(fā)的證書，一般少則幾年，多則十幾年；而大多數(shù)權(quán)威的CA機構(gòu)簽發(fā)的證書有效期是一年。之所以是一年的有效期，是因為考慮到證書保密的要求。如果簽發(fā)的證書有效期過長，那么證書加密被破解的可能性就越大，保密性也就越差。由此來看，超長的有效期看似省去了每年都要重新審核簽發(fā)的麻煩，但實際上卻隱藏著安全問題。

4. 證書難以吊銷

自簽名SSL證書是沒有可訪問的吊銷列表的，所以瀏覽器無法實時查驗證書的狀態(tài)，一旦證書丟失或者被盜而無法吊銷，那么該證書很可能被別有用心的人非法利用，造成損失。同時，瀏覽器對此還會發(fā)出“吊銷列表不可用，是否繼續(xù)？”的警告，不僅降低了網(wǎng)頁的瀏覽速度，還大大降低了訪問者對網(wǎng)站的信任度。

建議用戶選擇專業(yè)的證書服務(wù)商簽發(fā)的證書，部分證書平臺提供有免費版SSL證書，JoySSL作為國內(nèi)領(lǐng)先的證書服務(wù)商，提供包括單域名，多域名，通配符等在內(nèi)的多種類型的免費SSL，用戶可以在其平臺申請使用：