大家都知道申请SSL证书需要资金,有些网站运营者为了节约成本,使用自签名SSL证书。其实,这不仅不利于网站的安全,反而让不法分子有了攻击网站的机会,我们一般都不建议网站使用自签名SSL证书,原因是什么呢?这还得从以下几方面开始说起。
什么是自签名SSL证书?
自签名SSL证书一般是指通过不受信任的任何机构和个人,使用工具自己签发的SSL证书。这些不受信任的机构或个人因不受第三方的监督和审核,可任意签发SSL证书。但自签名SSL证书对网站的危害较大。
自签名SSL证书有哪些危害?
1.自签名SSL证书容易被假冒和伪造
因为自签名SSL证书是自己随意签发的,那么就较有可能被不法分子伪造一张一模一样的自签证书,用于钓鱼网站。使用户难于分辨出网站真假,容易上当受骗。
如果是通过可信机构签发的SSL证书因为经过了严格的验证过程可以显示公司真实信息,也可以查询SSL证书的状态,一旦网站SSL证书配置的域名与实际的域名不符,或者出现证书已过期等其它情况时,浏览器都会提醒用户“此网站安全证书存在问题”进行警告,钓鱼网站无法假冒。
2.自签名SSL证书容易受到攻击
当网站部署了自签名SSL证书,用户在访问该网站时经常会受到浏览器的不安全警告,而网站却是告知用户点击“继续浏览”便能继续正常访问,久而久之就会使网站用户养成了对浏览器的警告视而不见的习惯,这无形中给了中间人攻击的机会。因为当网站的自签名SSL证书被假冒SSL证书替换时,浏览器并非无动于衷,而是会跳出“此证书不受信任”的提示以警告用户,但由于用户对此类提示已经习以为常,习惯性的点击“ 继续浏览 ”让不法分子轻易便能实施的中间人攻击。
总而言之,在这里要提醒网站运营者们千万别为了省钱而使用自签名SSL证书,尤其是涉及到金融的企业,千万别因小失大。如果您还有其他疑问请联系环度网信!
