SSL自签名证书

发布时间:2024年01月17日

SSL自签名证书

1.漏洞描述

1.1.漏洞名称

漏洞名称:SSL自签名证书

漏洞描述:此服务的X.509证书链不是由公认的证书颁发机构签名的。

CVSS评分:6.5

1.2.介绍

受信任的SSL证书:会被浏览器信任认可,安全加密服务与安全扫描相关CA配套服务。

自签署的SSL证书:不会被浏览器信任,数据被泄漏级劫持安全漏洞安全风险较高。

1.3.漏洞成因

许多重要的公网可以访问的网站系统(如网银系统)都在使用自签SSL证书(自建PKI系统颁发的SSL证书),而不是部署支持浏览器的SSL证书。自签证书普遍存在严重的安全漏洞,极易受到攻击:

  1. 自签证书最容易被假冒和伪造,而被欺诈网站所利用。

一旦欺诈网站使用伪造证书(证书信息一样),由于浏览器有一套可靠的验证机制,会自动识别出伪造证书而警告用户此证书不受信任,可能试图欺骗或截获向服务器发送的数据。

  1. 自签证书最容易受到SSL中间人攻击。

自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。

  1. 自签证书支持不安全的SSL通信重新协商机制。

由于自签证书系统并没有跟踪最新的技术而没有及时补漏,几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞,这是SSL协议的安全漏洞。

  1. 自签证书支持非常不安全的SSL V2.0协议

SSL v2.0协议是最早出台的协议,存在许多安全漏洞问题

这也是部署自签SSL证书服务器中普遍存在的问题。

  1. 自签证书没有可访问的吊销列表。

  2. 自签证书使用不安全的1024位非对称密钥对。

  3. 自签证书证书有效期太长。

2.漏洞危害

1)浏览器会持续弹出警告

因为绝大部分浏览器都不信任自签名证书,在连接到https网站时会显示不可信连接警告,这样不利于用户体验度,会兼职导致潜在用户的流失。

2)没有任何保修

第三方CA对证书误发情况下的某些损失提供保修,这取决于购买的SSL证书类型,范围在 10,000 美元到 1,750,000 美元之间,而自签名https证书不提供任何保修保护。

3)容易被仿冒

自签名SSL证书缺乏真实性,因此攻击者可以用攻击者自己的证书替换自签名证书。但是,浏览器将不知道它是使用正确的SSL证书还是替换的证书进行通信。

4)没有可访问的吊销列表,很难被吊销

因为加密和解密都可能存在潜在的安全漏洞,如果CA机构发现被盗的证书,他们有权随时撤销证书,以防止未经授权的访问造成进一步的损害,但是自签名SSL证书在未管理的情况下很难吊销。

3.漏洞修复

  1. 为此服务购买或生成适当的SSL证书。

  2. 使用支持浏览器的SSL证书(颁发给用户的证书是全球唯一的可以信任的证书,是不可以伪造的)

文章来源:https://blog.csdn.net/weixin_51214674/article/details/135656883
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。