目前��,有許多重要的公網(wǎng)可以訪問的網(wǎng)站系統(tǒng)(如網(wǎng)銀系統(tǒng))都在使用自簽SSL證書�����,即自建PKI系統(tǒng)頒發(fā)的SSL證書���,而不是部署支持瀏覽器的SSL證書��,這絕對是得不償失的重大決策失誤�����,自簽證書普遍存在嚴重的安全漏洞���,極易受到攻擊。主要問題有:
1. 自簽證書最容易被假冒和偽造��,而被欺詐網(wǎng)站所利用��。
所謂自簽證書����,就是自己做的證書,既然你可以自己做�����,那別人可以自己做��,可以做成跟你的證書一模一樣�,就非常方便地偽造成為有一樣證書的假冒網(wǎng)銀網(wǎng)站了。
而使用支持瀏覽器的SSL證書就不會有被偽造的問題��,頒發(fā)給用戶的證書是全球唯一的可以信任的證書,是不可以偽造的����,一旦欺詐網(wǎng)站使用偽造證書(證書信息一樣),由于瀏覽器有一套可靠的驗證機制���,會自動識別出偽造證書而警告用戶此證書不受信任����,可能試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)���!
2. 自簽證書最容易受到SSL中間人攻擊。
自簽證書是不會被瀏覽器所信任的證書�,用戶在訪問自簽證書時,瀏覽器會警告用戶此證書不受信任����,需要人工確認是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況�,用戶必須點信任并繼續(xù)瀏覽!這就給中間人攻擊造成了可之機��。
典型的SSL中間人攻擊就是中間人與用戶或服務(wù)器在同一個局域網(wǎng)����,中間人可以截獲用戶的數(shù)據(jù)包��,包括SSL數(shù)據(jù)包����,并與做一個假的服務(wù)器SSL證書與用戶通信�����,從而截獲用戶輸入的機密信息�����。如果服務(wù)器部署的支持瀏覽器的可信的SSL證書�,則瀏覽器在收到假的證書時會有安全警告,用戶會發(fā)覺不對而放棄連接���,從而不會被受到攻擊�。但是����,如果服務(wù)器使用的是自簽證書,用戶會以為是網(wǎng)站又要他點信任而麻木地點信任了攻擊者的假證書����,這樣用戶的機密信息就被攻擊者得到�,如網(wǎng)銀密碼等���,則非常危險��,所以���,重要的網(wǎng)銀系統(tǒng)絕對不能用自簽SSL證書!
點評 :第1點和第2點都是由于自簽證書不受瀏覽器信任�����,而網(wǎng)站告訴用戶要信任而造成��!所以�����,作為用戶��,千萬不要繼續(xù)瀏覽瀏覽器有類型如下警告的網(wǎng)站�;而作為網(wǎng)站主人�,千萬不要因為部署了自簽證書而讓廣大用戶蒙受被欺詐網(wǎng)站所攻擊的危險����,小則丟失密碼而為你增加找回密碼的客服工作量���,大則可能讓用戶銀行賬戶不翼而飛�,可能要賠償用戶的損失�����!
也許你或者你的系統(tǒng)集成商會說:這不是什么大不了的事��,只要用戶安裝了我的根證書����,下次就不會提示了。理論上是的�����,但是���,由于用戶有過要求點擊信任證書的經(jīng)歷���,再次遇到要求點擊信任證書時一定會繼續(xù)點信任而遭遇了上了黑客的當��!
即使你是在給用戶安裝USB Key管理軟件時悄悄安裝你的根證書�����,也是有問題的�����,自簽證書無法保證證書的唯一性����,你的自簽根證書和用戶證書一樣有可能被黑客偽造����。
不僅如此,除了以上兩個大問題外�����,由于用戶自己開發(fā)的證書頒發(fā)系統(tǒng)或使用其他公司的證書頒發(fā)系統(tǒng)并非不具有完備的PKI專業(yè)知識�����,并沒有跟蹤最新的PKI技術(shù)發(fā)展���,還存在其他重要安全問題��。
3. 自簽證書支持不安全的SSL通信重新協(xié)商機制�。
經(jīng)我公司專家檢測�,幾乎所有使用自簽SSL證書的服務(wù)器都存在不安全的SSL通信重新協(xié)商安全漏洞,這是SSL協(xié)議的安全漏洞���,由于自簽證書系統(tǒng)并沒有跟蹤最新的技術(shù)而沒有及時補漏��!此漏洞會被黑客利用而截獲用戶的加密信息�����,如銀行賬戶和密碼等�,非常危險��,一定要及時修補�����。
4. 自簽證書支持非常不安全的SSL V2.0協(xié)議����。
這也是部署自簽SSL證書服務(wù)器中普遍存在的問題��,因為SSL v2.0協(xié)議是最早出臺的協(xié)議���,存在許多安全漏洞問題,目前各種新版瀏覽器都已經(jīng)不支持不安全的SSL v2.0協(xié)議���。而由于部署自簽SSL證書而無法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo)���,所以,一般都沒有關(guān)閉不安全的SSL v2.0協(xié)議�。
5. 自簽證書沒有可訪問的吊銷列表。
這也是所有自簽SSL證書普遍存在的問題����,做一個SSL證書并不難,使用OpenSSL幾分鐘就搞定��,但真正讓一個SSL證書發(fā)揮作用就不是那么輕松的事情了��。要保證SSL證書正常工作�����,其中一個必要功能是證書中帶有瀏覽器可訪問的證書吊銷列表��,如果沒有有效的吊銷列表�����,則如果證書丟失或被盜而無法吊銷��,就極有可能被用于非法用途而讓用戶蒙受損失���。同時�����,瀏覽器在訪問時會有安全警告:吊銷列表不可用�,是否繼續(xù)����?,并且會大大延長瀏覽器的處理時間��,影響網(wǎng)頁的瀏覽速度��。
6. 自簽證書使用不安全的1024位非對稱密鑰對�。
1024位RSA非對稱密鑰對已經(jīng)變得不安全了��,所以��,美國國家標準技術(shù)研究院( NIST)要求停止使用不安全的1024位非對稱加密算法����。微軟已經(jīng)要求所有受信任的根證書頒發(fā)機構(gòu)必須升級其不安全的1024位根證書到2048位和停止頒發(fā)不安全的1024位用戶證書����。而目前幾乎所有自簽證書都是1024位,自簽根證書也都是1024位���,當然都是不安全的���。還是那句話:由于部署自簽SSL證書而無法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo),根本就不知道1024位已經(jīng)不安全了�。
7. 自簽證書證書有效期太長。
自簽證書中還有一個普遍的問題是證書有效期太長�,短則5年,長則20年�、30年的都有,并且還都是使用不安全1024位加密算法�����。可能是自簽證書制作時反正又不要錢����,就多發(fā)幾年吧,而根本不知道PKI技術(shù)標準中為何要限制證書有效期的基本原理是:有效期越長���,就越有可能被黑客破解,因為他有足夠長的時間(20年)來破解你的加密�����。
也許你會問���,為何所有Windows受信任的根證書有效期都是20年或30年��?好問題����!因為:一是根證書密鑰生成后是離線鎖保險柜的���,并不像用戶證書一樣一直掛在網(wǎng)上�;其二是根證書采用更高的密鑰長度和更安全的專用硬件加密模塊�����。
總之 ,為了您的重要系統(tǒng)安全��,請千萬不要使用自簽的SSL證書�,從而帶來巨大的安全隱患和安全風險,特別是重要的網(wǎng)銀系統(tǒng)�����、網(wǎng)上證券系統(tǒng)和電子商務(wù)系統(tǒng)�。歡迎選購景安WoSign品牌全線支持4096-2048位加密長度的 SSL證書!
(本文為原創(chuàng)文章,未經(jīng)允許禁止轉(zhuǎn)載抄襲)
企業(yè)微信