為什么“部署自簽SSL證書非常不安全”
目前,有許多重要的公網可以訪問的網站系統(如網銀系統)都在使用自簽SSL證書,即自建PKI系統頒發的SSL證書,而不是部署支持瀏覽器的SSL證書,這絕對是得不償失的重大決策失誤,自簽證書普遍存在嚴重的安全漏洞,極易受到攻擊。主要問題有:
1. 自簽證書最容易被假冒和偽造,而被欺詐網站所利用。
所謂自簽證書,就是自己做的證書,既然你可以自己做,那別人可以自己做,可以做成跟你的證書一模一樣,就非常方便地偽造成為有一樣證書的假冒網銀網站了。
而使用支持瀏覽器的SSL證書就不會有被偽造的問題,頒發給用戶的證書是全球唯一的可以信任的證書,是不可以偽造的,一旦欺詐網站使用偽造證書(證書信息一樣),由于瀏覽器有一套可靠的驗證機制,會自動識別出偽造證書而警告用戶此證書不受信任,可能試圖欺騙您或截獲您向服務器發送的數據!
2. 自簽證書最容易受到SSL中間人攻擊。
自簽證書是不會被瀏覽器所信任的證書,用戶在訪問自簽證書時,瀏覽器會警告用戶此證書不受信任,需要人工確認是否信任此證書。所有使用自簽證書的網站都明確地告訴用戶出現這種情況,用戶必須點信任并繼續瀏覽!這就給中間人攻擊造成了可之機。
典型的SSL中間人攻擊就是中間人與用戶或服務器在同一個局域網,中間人可以截獲用戶的數據包,包括SSL數據包,并與做一個假的服務器SSL證書與用戶通信,從而截獲用戶輸入的機密信息。如果服務器部署的支持瀏覽器的可信的SSL證書,則瀏覽器在收到假的證書時會有安全警告,用戶會發覺不對而放棄連接,從而不會被受到攻擊。但是,如果服務器使用的是自簽證書,用戶會以為是網站又要他點信任而麻木地點信任了攻擊者的假證書,這樣用戶的機密信息就被攻擊者得到,如網銀密碼等,則非常危險,所以,重要的網銀系統絕對不能用自簽SSL證書!
點評 :第1點和第2點都是由于自簽證書不受瀏覽器信任,而網站告訴用戶要信任而造成!所以,作為用戶,千萬不要繼續瀏覽瀏覽器有類型如下警告的網站;而作為網站主人,千萬不要因為部署了自簽證書而讓廣大用戶蒙受被欺詐網站所攻擊的危險,小則丟失密碼而為你增加找回密碼的客服工作量,大則可能讓用戶銀行賬戶不翼而飛,可能要賠償用戶的損失!
也許你或者你的系統集成商會說:這不是什么大不了的事,只要用戶安裝了我的根證書,下次就不會提示了。理論上是的,但是,由于用戶有過要求點擊信任證書的經歷,再次遇到要求點擊信任證書時一定會繼續點信任而遭遇了上了黑客的當!
即使你是在給用戶安裝USB Key管理軟件時悄悄安裝你的根證書,也是有問題的,自簽證書無法保證證書的唯一性,你的自簽根證書和用戶證書一樣有可能被黑客偽造。
不僅如此,除了以上兩個大問題外,由于用戶自己開發的證書頒發系統或使用其他公司的證書頒發系統并非不具有完備的PKI專業知識,并沒有跟蹤最新的PKI技術發展,還存在其他重要安全問題。
3. 自簽證書支持不安全的SSL通信重新協商機制。
經我公司專家檢測,幾乎所有使用自簽SSL證書的服務器都存在不安全的SSL通信重新協商安全漏洞,這是SSL協議的安全漏洞,由于自簽證書系統并沒有跟蹤最新的技術而沒有及時補漏!此漏洞會被黑客利用而截獲用戶的加密信息,如銀行賬戶和密碼等,非常危險,一定要及時修補。
4. 自簽證書支持非常不安全的SSL V2.0協議。
這也是部署自簽SSL證書服務器中普遍存在的問題,因為SSL v2.0協議是最早出臺的協議,存在許多安全漏洞問題,目前各種新版瀏覽器都已經不支持不安全的SSL v2.0協議。而由于部署自簽SSL證書而無法獲得專業SSL證書提供商的專業指導,所以,一般都沒有關閉不安全的SSL v2.0協議。
5. 自簽證書沒有可訪問的吊銷列表。
這也是所有自簽SSL證書普遍存在的問題,做一個SSL證書并不難,使用OpenSSL幾分鐘就搞定,但真正讓一個SSL證書發揮作用就不是那么輕松的事情了。要保證SSL證書正常工作,其中一個必要功能是證書中帶有瀏覽器可訪問的證書吊銷列表,如果沒有有效的吊銷列表,則如果證書丟失或被盜而無法吊銷,就極有可能被用于非法用途而讓用戶蒙受損失。同時,瀏覽器在訪問時會有安全警告:吊銷列表不可用,是否繼續?,并且會大大延長瀏覽器的處理時間,影響網頁的瀏覽速度。
6. 自簽證書使用不安全的1024位非對稱密鑰對。
1024位RSA非對稱密鑰對已經變得不安全了,所以,美國國家標準技術研究院( NIST)要求停止使用不安全的1024位非對稱加密算法。微軟已經要求所有受信任的根證書頒發機構必須升級其不安全的1024位根證書到2048位和停止頒發不安全的1024位用戶證書。而目前幾乎所有自簽證書都是1024位,自簽根證書也都是1024位,當然都是不安全的。還是那句話:由于部署自簽SSL證書而無法獲得專業SSL證書提供商的專業指導,根本就不知道1024位已經不安全了。
7. 自簽證書證書有效期太長。
自簽證書中還有一個普遍的問題是證書有效期太長,短則5年,長則20年、30年的都有,并且還都是使用不安全1024位加密算法。可能是自簽證書制作時反正又不要錢,就多發幾年吧,而根本不知道PKI技術標準中為何要限制證書有效期的基本原理是:有效期越長,就越有可能被黑客破解,因為他有足夠長的時間(20年)來破解你的加密。
也許你會問,為何所有Windows受信任的根證書有效期都是20年或30年?好問題!因為:一是根證書密鑰生成后是離線鎖保險柜的,并不像用戶證書一樣一直掛在網上;其二是根證書采用更高的密鑰長度和更安全的專用硬件加密模塊。
總之 ,為了您的重要系統安全,請千萬不要使用自簽的SSL證書,從而帶來巨大的安全隱患和安全風險,特別是重要的網銀系統、網上證券系統和電子商務系統。歡迎選購景安WoSign品牌全線支持4096-2048位加密長度的 SSL證書!
來源:景安
