壹:自簽SSL證書最容易被假冒和偽造,被欺詐網站利用
自簽SSL證書是可以隨意簽發的,不受任何監管,您可以自己簽發,別人也可以自己簽發。如果您的網站使用自簽SSL證書,那黑客也可以偽造壹張壹模壹樣的自簽證書,用在釣魚網站上,偽造出有壹樣證書的假冒網銀網站!
二:部署自簽SSL證書的網站,瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的,用戶訪問部署了自簽SSL證書的網站時,瀏覽器會持續彈出安全警告,極大影響用戶體驗。
三:自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站,遇到瀏覽器警告提示時,網站通常會告知用戶點擊“繼續瀏覽”,用戶逐漸養成了忽略瀏覽器警告提示的習慣,這就給了中間人攻擊可乘之機,使網站更容易受到中間人攻擊。
典型的SSL中間人攻擊就是中間人與用戶或服務器在同壹個局域網,中間人可以截獲用戶的數據包,包括SSL數據包,並做壹個假的服務器SSL證書與用戶通信,從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時,瀏覽器會警告用戶此證書不受信任,需要用戶確認是否信任此證書,用戶習慣性點擊“繼續瀏覽”,中間人攻擊輕而易舉的實現了。
四:自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題,做壹個SSL證書並不難,使用OpenSSL幾分鐘就搞定,但真正讓壹個SSL證書發揮作用就不是那麽輕松的事情了。要保證SSL證書正常工作,其中壹個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等,證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態,壹旦證書丟失或被盜而無法吊銷,就極有可能被用於非法用途而讓用戶蒙受損失。此外,瀏覽器還會發出“吊銷列表不可用,是否繼續?”的安全警告,大大延長瀏覽器的處理時間,影響網頁的流量速度。