所谓自签证书,就是自己做的证书,既然你可以做,那别人也可以做,做成跟你的证书一模一样,就非常方便地伪造成有一样证书的假冒网站了。
而使用支持浏览器的SSL证书就不会有被伪造的问题,颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的,一旦欺诈网站使用伪造证书,由于浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗您或截获您向服务器发送的数据!
自建证书容易受到攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
由于用户自己开发的证书颁发系统或使用其他公司的证书颁发系统并非不具有完备的PKI专业知识,并没有跟踪最新的PKI技术发展,还存在其他重要安全问题。
自建证书支持不安全的通信机制
几乎所有使用自签SSL证书的网站空间都存在不安全的SSL通信重新协商安全漏洞,这是SSL协议的安全漏洞,由于自签证书系统并没有最新的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息,如银行账户和密码等,非常危险。
自签证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必要功能是证书中带有浏览器可访问的证书吊销列表,如果没有有效的吊销列表,则如果证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。同时,浏览器在访问时会有安全警告。
因此,自己创建ssl证书并没有太大好处。西部数码和全球知名的CA证书服务中心或代理商合作,共同为用户提供安全可靠的SSL证书产品,域名型证书现在只需1元即可申请,产品链接 https://www.west.cn/web/ssl/
