OpenSSL是用于传输层安全(TLS)协议的开源工具包,OpenSSL生成SSL证书能受到浏览器信任吗?OpenSSL生成SSL证书能不能用于网站HTTPS加密呢?
OpenSSL是什么?
OpenSSL是基于密码学的用于传输层安全(TLS)协议的开源工具包,可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。OpenSSL实现了ASN.1的证书和密钥相关标准,提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序,同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能,使得密钥可以安全地进行存储和分发。
在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能,并提供了一种文本数据库,支持证书的管理功能,包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。也就是说,OpenSSL提供的CA应用程序就是一个小型的证书管理中心(CA),实现了证书签发的整个流程和证书管理的大部分机制。
OpenSSL生成SSL证书,有哪些安全风险?
SSL证书应该由受信任的证书机构颁发,严格验证申请者身份,并在经过审计的系统中签发,可以被浏览器信任。OpenSSL生成的SSL证书能否被浏览器信任,取决于证书的类型和颁发者身份。OpenSSL可以生成自签名证书和CA证书。自签名证书是由自己颁发的证书,不受浏览器信任。如果使用OpenSSL生成的是自签名证书,则访问该网站时会提示“您的连接不是私密连接”,并提示是否继续访问。这是因为自签名证书不被浏览器信任,造成了验证失败。自签名SSL证书可随意签发,不受监管也不会受任何浏览器以及操作系统信任,存在诸多安全隐患及风险。
1.容易被假冒伪造,被欺诈网站利用
自签名SSL证书是可以随意签发的,不受任何监管,黑客也可以伪造一张一模一样的自签名证书,用在钓鱼网站上,伪造出有一样证书的假冒网站!
2、部署自签名SSL证书的网站,浏览器会持续弹出警告
自签名SSL证书是不受浏览器信任的,用户访问部署了自签名SSL证书的网站时,浏览器会持续弹出安全警告,极大影响用户体验。
3、最容易受到SSL中间人攻击
用户访问部署了自签名SSL证书的网站,遇到浏览器警告提示时,网站通常会告知用户点击“继续浏览”,用户逐渐养成了忽略浏览器警告提示的习惯,这就给了中间人攻击可乘之机,使网站更容易受到中间人攻击。
4、没有可访问的吊销列表,无法验证证书状态
这也是所有自签名SSL证书普遍存在的问题,做一个SSL证书并不难,使用OpenSSL几分钟就搞定,但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。
5、超长有效期,时间越长越容易被破解
目前国际标准要求SSL证书有效期不超过398天。而自签名证书制作无成本、不受监管,证书有效期普遍太长,短则5年,长则20年甚至30年。PKI技术标准限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解。
