发布日期:2015-02-27 15:56:46
自签名证书是由个人创建,而不是由一个受信任的证书颁发机构签署的。
一个免费的自签名证书的加密级别也可以达到一个用1500美元买来的证书颁发机构签署的证书水准,但有两个主要缺点:
1)访问者的连接可能被劫持hijacked,从而允许攻击者查看所有发送的数据(因此达不到加密连接的目的:不让其他人看到发送的真实内容)
2)证书不能被撤销,而一个受信任的证书可以。
什么情况下可以使用一个自签名证书以及什么情况下不应该使用?
永远不要将自签名证书应用在电子商务网站或任何传递个人价值信息的网站,如信用卡信息,身份证等个人价值信息。
证书有两个基本目的:
1)分配公共密钥
2)验证服务器的身份以保证访客知道他们没有将信息发送给其他人/其他服务器。
只有被信任的第三方签名的的证书才能正确地验证服务器的身份,因为攻击者可以创建一个自签名证书和然后发起一个中间人攻击。如果一个用户恰好只是接受自签名证书的话,攻击者可以窃听到所有的信息交换或者试图建立一个模拟服务器来钓鱼获取额外的用户信息。因此,我们不应该在匿名访客可以连接到的站点的服务器上使用自签名证书。在这些情况下,你真的需要花些钱去购买一个可信的证书(有很多便宜的SSL证书机构)。
然而,在下面情况下常使用自签名的证书:
1)企业内部网。当用户只通过局域网到服务器,这几乎不可能有中间人攻击。
2)开发服务器。没有必要花额外的钱购买一个可信的证书时,你只是开发或测试应用程序。
3)很少用户的个人网站。如果你有一个小的个人网站,传输一些非关键非敏感的信息,很少有人有兴趣来攻击这样的连接。
记住,当访客连接到一个自签名证书的服务器时将在他们的浏览器看到下面的警告(如图),直到将证书永久保存在证书存储中心。
如何在下面的服务器上创建自签名证书?
- 如何在IIS7上创建自签名证书
- 如何在Apache上创建自签名证书
- 如何在Java服务器上创建自签名证书