亚洲欧美日韩国产精品专区,亚洲av成人午夜福利在线观看,亚洲精品一卡2卡3卡四卡乱码,亚洲av无码专区国产不卡顿,亚洲美国产亚洲av

目前，有許多重要的公網(wǎng)可以訪問(wèn)的網(wǎng)站系統(tǒng)(如網(wǎng)銀系統(tǒng))都在使用自簽SSL證書，即自建PKI系統(tǒng)頒發(fā)的SSL證書，而不是部署支持瀏覽器的SSL證書，這絕對(duì)是得不償失的重大決策失誤，自簽證書普遍存在嚴(yán)重的安全漏洞，極易受到攻擊。主要問(wèn)題有：
   1. 自簽證書最容易被假冒和偽造，而被欺詐網(wǎng)站所利用。
   所謂自簽證書，就是自己做的證書，既然你可以自己做，那別人可以自己做，可以做成跟你的證書一模一樣，就非常方便地偽造成為有一樣證書的假冒網(wǎng)銀網(wǎng)站了。
   而使用支持瀏覽器的SSL證書就不會(huì)有被偽造的問(wèn)題，頒發(fā)給用戶的證書是全球唯一的可以信任的證書，是不可以偽造的，一旦欺詐網(wǎng)站使用偽造證書(證書信息一樣)，由于瀏覽器有一套可靠的驗(yàn)證機(jī)制，會(huì)自動(dòng)識(shí)別出偽造證書而警告用戶此證書不受信任，可能試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)！
   2. 自簽證書最容易受到SSL中間人攻擊。
   自簽證書是不會(huì)被瀏覽器所信任的證書，用戶在訪問(wèn)自簽證書時(shí)，瀏覽器會(huì)警告用戶此證書不受信任，需要人工確認(rèn)是否信任此證書。所有使用自簽證書的網(wǎng)站都明確地告訴用戶出現(xiàn)這種情況，用戶必須點(diǎn)信任并繼續(xù)瀏覽！這就給中間人攻擊造成了可之機(jī)。
   典型的SSL中間人攻擊就是中間人與用戶或服務(wù)器在同一個(gè)局域網(wǎng)，中間人可以截獲用戶的數(shù)據(jù)包，包括SSL數(shù)據(jù)包，并與做一個(gè)假的服務(wù)器SSL證書與用戶通信，從而截獲用戶輸入的機(jī)密信息。如果服務(wù)器部署的支持瀏覽器的可信的SSL證書，則瀏覽器在收到假的證書時(shí)會(huì)有安全警告，用戶會(huì)發(fā)覺(jué)不對(duì)而放棄連接，從而不會(huì)被受到攻擊。但是，如果服務(wù)器使用的是自簽證書，用戶會(huì)以為是網(wǎng)站又要他點(diǎn)信任而麻木地點(diǎn)信任了攻擊者的假證書，這樣用戶的機(jī)密信息就被攻擊者得到，如網(wǎng)銀密碼等，則非常危險(xiǎn)，所以，重要的網(wǎng)銀系統(tǒng)絕對(duì)不能用自簽SSL證書！
   點(diǎn)評(píng) ：第1點(diǎn)和第2點(diǎn)都是由于自簽證書不受瀏覽器信任，而網(wǎng)站告訴用戶要信任而造成！所以，作為用戶，千萬(wàn)不要繼續(xù)瀏覽瀏覽器有類型如下警告的網(wǎng)站；而作為網(wǎng)站主人，千萬(wàn)不要因?yàn)椴渴鹆俗院炞C書而讓廣大用戶蒙受被欺詐網(wǎng)站所攻擊的危險(xiǎn)，小則丟失密碼而為你增加找回密碼的客服工作量，大則可能讓用戶銀行賬戶不翼而飛，可能要賠償用戶的損失！
   也許你或者你的系統(tǒng)集成商會(huì)說(shuō)：這不是什么大不了的事，只要用戶安裝了我的根證書，下次就不會(huì)提示了。理論上是的，但是，由于用戶有過(guò)要求點(diǎn)擊信任證書的經(jīng)歷，再次遇到要求點(diǎn)擊信任證書時(shí)一定會(huì)繼續(xù)點(diǎn)信任而遭遇了上了黑客的當(dāng)！
   即使你是在給用戶安裝USB Key管理軟件時(shí)悄悄安裝你的根證書，也是有問(wèn)題的，自簽證書無(wú)法保證證書的唯一性，你的自簽根證書和用戶證書一樣有可能被黑客偽造。
   不僅如此，除了以上兩個(gè)大問(wèn)題外，由于用戶自己開發(fā)的證書頒發(fā)系統(tǒng)或使用其他公司的證書頒發(fā)系統(tǒng)并非不具有完備的PKI專業(yè)知識(shí)，并沒(méi)有跟蹤最新的PKI技術(shù)發(fā)展，還存在其他重要安全問(wèn)題。
   3. 自簽證書支持不安全的SSL通信重新協(xié)商機(jī)制。
   經(jīng)我公司專家檢測(cè)，幾乎所有使用自簽SSL證書的服務(wù)器都存在不安全的SSL通信重新協(xié)商安全漏洞，這是SSL協(xié)議的安全漏洞，由于自簽證書系統(tǒng)并沒(méi)有跟蹤最新的技術(shù)而沒(méi)有及時(shí)補(bǔ)漏！此漏洞會(huì)被黑客利用而截獲用戶的加密信息，如銀行賬戶和密碼等，非常危險(xiǎn)，一定要及時(shí)修補(bǔ)。
   4. 自簽證書支持非常不安全的SSL V2.0協(xié)議。
   這也是部署自簽SSL證書服務(wù)器中普遍存在的問(wèn)題，因?yàn)镾SL v2.0協(xié)議是最早出臺(tái)的協(xié)議，存在許多安全漏洞問(wèn)題，目前各種新版瀏覽器都已經(jīng)不支持不安全的SSL v2.0協(xié)議。而由于部署自簽SSL證書而無(wú)法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo)，所以，一般都沒(méi)有關(guān)閉不安全的SSL v2.0協(xié)議。
   5. 自簽證書沒(méi)有可訪問(wèn)的吊銷列表。
   這也是所有自簽SSL證書普遍存在的問(wèn)題，做一個(gè)SSL證書并不難，使用OpenSSL幾分鐘就搞定，但真正讓一個(gè)SSL證書發(fā)揮作用就不是那么輕松的事情了。要保證SSL證書正常工作，其中一個(gè)必要功能是證書中帶有瀏覽器可訪問(wèn)的證書吊銷列表，如果沒(méi)有有效的吊銷列表，則如果證書丟失或被盜而無(wú)法吊銷，就極有可能被用于非法用途而讓用戶蒙受損失。同時(shí)，瀏覽器在訪問(wèn)時(shí)會(huì)有安全警告：吊銷列表不可用，是否繼續(xù)？，并且會(huì)大大延長(zhǎng)瀏覽器的處理時(shí)間，影響網(wǎng)頁(yè)的瀏覽速度。
   6. 自簽證書使用不安全的1024位非對(duì)稱密鑰對(duì)。
   1024位RSA非對(duì)稱密鑰對(duì)已經(jīng)變得不安全了，所以，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院( NIST)要求停止使用不安全的1024位非對(duì)稱加密算法。微軟已經(jīng)要求所有受信任的根證書頒發(fā)機(jī)構(gòu)必須升級(jí)其不安全的1024位根證書到2048位和停止頒發(fā)不安全的1024位用戶證書。而目前幾乎所有自簽證書都是1024位，自簽根證書也都是1024位，當(dāng)然都是不安全的。還是那句話：由于部署自簽SSL證書而無(wú)法獲得專業(yè)SSL證書提供商的專業(yè)指導(dǎo)，根本就不知道1024位已經(jīng)不安全了。
   7. 自簽證書證書有效期太長(zhǎng)。
   自簽證書中還有一個(gè)普遍的問(wèn)題是證書有效期太長(zhǎng)，短則5年，長(zhǎng)則20年、30年的都有，并且還都是使用不安全1024位加密算法。可能是自簽證書制作時(shí)反正又不要錢，就多發(fā)幾年吧，而根本不知道PKI技術(shù)標(biāo)準(zhǔn)中為何要限制證書有效期的基本原理是：有效期越長(zhǎng)，就越有可能被黑客破解，因?yàn)樗凶銐蜷L(zhǎng)的時(shí)間(20年)來(lái)破解你的加密。
   也許你會(huì)問(wèn)，為何所有Windows受信任的根證書有效期都是20年或30年？好問(wèn)題！因?yàn)椋阂皇歉C書密鑰生成后是離線鎖保險(xiǎn)柜的，并不像用戶證書一樣一直掛在網(wǎng)上；其二是根證書采用更高的密鑰長(zhǎng)度和更安全的專用硬件加密模塊。
   總之 ，為了您的重要系統(tǒng)安全，請(qǐng)千萬(wàn)不要使用自簽的SSL證書，從而帶來(lái)巨大的安全隱患和安全風(fēng)險(xiǎn)，特別是重要的網(wǎng)銀系統(tǒng)、網(wǎng)上證券系統(tǒng)和電子商務(wù)系統(tǒng)。歡迎選購(gòu)景安WoSign品牌全線支持4096-2048位加密長(zhǎng)度的 SSL證書！