Cómo agregar un certificado SSL autofirmado Existen riesgos con los certificados SSL autofirmados
El llamado certificado SSL autofirmado se refiere a un certificado SSL firmado por cualquier organización o individuo que no es de confianza utilizando una herramienta. Los certificados SSL autofirmados se pueden emitir a voluntad, sin supervisión ni revisión de terceros, y los navegadores y sistemas operativos no confían en ellos. A menudo se utilizan para falsificar certificados para realizar ataques de intermediario y secuestrar SSL cifrado. tráfico. Para ahorrar costes, muchos sitios web utilizan certificados SSL autofirmados. De hecho, colocan una bomba de tiempo en sus sitios web, que los piratas informáticos pueden explotar en cualquier momento.
Existen grandes riesgos cuando los sitios web utilizan certificados SSL autofirmados, principalmente por los siguientes aspectos:
Los certificados SSL autofirmados son más fácilmente falsificados y utilizados por personas fraudulentas. sitios web
Los certificados SSL autofirmados se pueden emitir a voluntad y no están sujetos a ninguna supervisión. Puede emitirlos usted mismo y otros también pueden emitirlos ellos mismos. Si su sitio web utiliza un certificado SSL autofirmado, un pirata informático también puede falsificar un certificado autofirmado idéntico y usarlo en un sitio web de phishing para crear un sitio web de banca en línea falso con el mismo certificado.
La organización de CA autorizada está sujeta a la supervisión de auditoría de la Organización Internacional de Normalización y no puede emitir certificados a voluntad. Debe autenticar estrictamente la identidad del solicitante antes de poder emitir un certificado globalmente único, y lo hará. No habrá problema de falsificación. Los certificados SSL normales son compatibles con todos los navegadores. El mecanismo de verificación confiable integrado en el navegador identifica automáticamente la información real y el estado del certificado SSL. Si hay situaciones anormales, como que el nombre de dominio vinculado al certificado no coincide con el nombre de dominio real. el certificado ha sido revocado o caducado, navegue. El servidor emitirá automáticamente una advertencia para recordarle al usuario que "hay un problema con el certificado de seguridad de este sitio web" y que el sitio web falso no tiene dónde esconderse.
Para los sitios web que implementan certificados SSL autofirmados, los navegadores seguirán mostrando advertencias emergentes.
Los navegadores no confían en los certificados SSL autofirmados. Los usuarios visitan sitios web que implementan certificados SSL autofirmados. Certificados SSL, el navegador seguirá mostrando advertencias de seguridad, lo que afecta en gran medida la experiencia del usuario.
Los certificados SSL autofirmados son más vulnerables a los ataques de intermediario SSL
Cuando los usuarios visitan un sitio web que ha implementado un certificado SSL autofirmado y encuentran un navegador advertencia, el sitio web generalmente le indicará al usuario que haga clic en "Continuar navegando", los usuarios desarrollan gradualmente el hábito de ignorar las indicaciones de advertencia del navegador, lo que brinda la oportunidad de ataques de intermediario y hace que el sitio web sea más vulnerable a los ataques de intermediario. -ataques del medio.
Un ataque típico de intermediario SSL es que el intermediario está en la misma LAN que el usuario o servidor. El intermediario puede interceptar los paquetes de datos del usuario, incluidos los paquetes de datos SSL, y crear un. Certificado SSL de servidor falso para comunicarse con el usuario, interceptando así información confidencial ingresada por el usuario. Cuando un sitio web se reemplaza con un certificado SSL falso, el navegador advertirá al usuario que el certificado no es confiable y le solicitará que confirme si confía en el certificado. El usuario habitualmente hace clic en "Continuar navegando" y aparece un hombre en-. El ataque intermedio se logra fácilmente.
Los certificados SSL autofirmados no tienen una lista de revocación accesible
Este también es un problema común con todos los certificados SSL autofirmados. No es difícil crear un certificado SSL. Se puede hacer en unos minutos usando OpenSSL, pero no es tan fácil hacer que un certificado SSL funcione. Para garantizar que el certificado SSL funcione correctamente, una de las funciones necesarias es permitir que el navegador compruebe en tiempo real si el estado del certificado ha caducado, ha sido revocado, etc. El certificado debe contener una lista de revocación de certificados accesible al navegador. Si el navegador no puede verificar el estado de revocación del certificado en tiempo real, una vez que el certificado se pierde o es robado y no se puede revocar, es muy probable que se utilice con fines ilegales y el usuario sufra pérdidas. Además, el navegador también emitirá una advertencia de seguridad "La lista de revocación no está disponible, ¿continuar?", lo que prolonga en gran medida el tiempo de procesamiento del navegador y afecta la velocidad del tráfico de la página web.
Los certificados SSL autofirmados utilizan el algoritmo de clave pública RSA de 1024 bits.
El algoritmo de clave pública RSA de 1024 bits ha sido considerado muy inseguro por la industria y es requerido por la Ley Nacional. Instituto de Estándares y Tecnología (NIST) Deje de utilizar el inseguro algoritmo de clave pública RSA de 1024 bits. Microsoft ha exigido a todas las autoridades de certificación raíz de confianza que actualicen sus certificados raíz de 1024 bits a 2048 bits antes del 31 de diciembre de 2010, dejen de emitir certificados de usuario inseguros de 1024 bits y reemplacen todos los certificados raíz de 1024 bits después del 31 de diciembre de 2010. eliminado de la lista de autoridades de certificación raíz de confianza de Windows.
En la actualidad, casi todos los certificados autofirmados son de 1024 bits y los certificados raíz autofirmados también son de 1024 bits.
Dado que el sitio web implementa un certificado SSL autofirmado y no puede obtener orientación profesional de un proveedor de certificados SSL profesional, simplemente no se sabe que 1024 bits ya no es seguro.
Los certificados SSL autofirmados admiten períodos de validez ultralargos y cuanto más largos sean, más fácil será descifrarlos
Otro problema común con los certificados SSL autofirmados es que el período de validez del certificado es demasiado largo, que puede ser tan corto como 5 años, hasta 20 o incluso 30 años. Debido a que no hay costo ni supervisión para producir un certificado autofirmado, puede emitirlo por tantos años como desee sin saber que el principio básico de los estándares técnicos de PKI que limitan el período de validez del certificado es: cuanto más largo sea el período de validez , es más probable que sea descifrado por un hacker, porque tiene suficiente tiempo (20 años) para descifrar su cifrado.
Los certificados autofirmados admiten mecanismos de renegociación de comunicación SSL inseguros y protocolos SSL y algoritmos de cifrado inseguros
Casi todos los servidores que utilizan certificados SSL autofirmados tienen una vulnerabilidad de seguridad de renegociación de comunicación SSL insegura. El sistema de certificado autofirmado no sigue la última tecnología PKI para corregir las vulnerabilidades de manera oportuna, ni guía a los usuarios para desactivar protocolos SSL ni algoritmos de cifrado inseguros. No cuenta con ningún servicio posventa ni orientación técnica. Un nuevo tipo de vulnerabilidad surge y no recibe orientación ni reparación oportuna. Utilizado por piratas informáticos para interceptar la información cifrada de los usuarios, como cuentas bancarias y contraseñas.
Optical Network Gworg es una organización de CA confiable a nivel mundial. Ha pasado las auditorías internacionales de Webtrust durante muchos años consecutivos. Está verificada y auditada en estricta conformidad con los estándares internacionales. Puede emitir certificados y soportes SSL formales. todos los navegadores. Debe revisarse antes de poder emitirse y no puede obtenerse a voluntad. Optical Network CA proporciona exclusivamente certificados SSL multidominio de 2 años a nivel mundial, lo que permite que todos los sitios web habiliten el cifrado de certificados SSL confiable a nivel mundial para proteger la seguridad de la transmisión de datos del usuario sin la necesidad de utilizar certificados autofirmados. ?También puede buscar en Taobao: Gworg? para obtener el certificado.