400-080-0149

自己如何生成SSL证书?能用吗?

现在很多用户都会想着自己生成SSL证书(即自签名SSL证书),这样可以不用花钱购买就能使用上SSL证书,省去了一大笔开销。殊不知,自己生成的SSL证书并没有那么好用,这是为什么呢?

我们先来了解一下自己如何生成SSL证书。

自己生成SSL证书可以通过OpenSSL的Keytool、Adobe Reader和Apple的密钥链等工具来创建,流程如下:

创建RSA私钥——生成CSR文件(可以使用OpenSSL工具包生成RSA私钥以及CSR文件)——从密钥中删除密码短语——生成自签名SSL证书

自己生成SSL证书之后,安装到服务器上,就可以启用了。

虽然目前还是有很多用户在使用自己生成的SSL证书,但是站在安全的角度考虑,不建议使用,因为它有很多的缺点:

1、生成无门槛,容易被假冒或伪造

自己生成SSL证书因为没有门槛,所以任何人都可以生成,那些不怀好意的人可以做成跟你的证书一模一样,就非常方便地伪造成为有一样证书的假冒网站了。

2、很容易受到SSL中间人攻击

自己生成的SSL证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可趁之机,非常不安全。

3、有效期太长,容易被破解

自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱,就多发几年吧,而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。

4、没有可访问的吊销列表

这是自己生成的SSL证书普遍存在的问题。虽然使用OpenSSL生成证书几分钟就能搞定,但是真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。

所以,为了您的网站安全,请勿使用自己生成的SSL证书。建议申请由正规的CA机构颁发的SSL证书,像GeoTrustGlobalsign等都是不错的选择。

相关文章

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE