自己生成ssl证书可以吗
自己生成ssl证书可以吗?这个当然是没有问题的。自己生成ssl证书也叫自签名ssl证书,是指不受信任的任意机构或个人,使用工具自己签发的ssl证书。零费用,不使用其他ssl证书所使用的信任链。
那么如何自己生成ssl证书呢?自己生成ssl证书可通过OpenSSL的Keytool、Adobe Reader和Apple的密钥链等工具来创建,一般流程是:
创建 RSA 私钥——生成CSR文件(可以使用OpenSSL工具包生成RSA 私钥以及CSR文件)——从密钥中删除密码短语——生成自签名证书——安装私钥和证书——配置启用ssl的虚拟主机——重新启动服务器并测试。
虽然现在依然有不少人使用这种证书,但是站在安全的角度考虑,不建议给网站使用自己生成ssl证书,因为它的缺点很多:
1、很容易被仿冒
自己生成ssl证书具有签发随意性,不受任何监管。言外之意就是很容易被黑客仿造出一模一样的证书,用在钓鱼网站上,很难分辨出真假,一不小心就入坑了,
2、超长有效期,很容易被破解
一般由受信任的CA机构颁发的ssl证书有效期都不会超过两年,而自己生成ssl证书由于不受监管,想签发几年就签发几年,有效期短则5年,长则20年甚至30年。有效期越长,就越有可能被黑客破解,因为他有足够长的时间来破解你的加密。
3、浏览器会持续弹出警告
由于自己生成ssl证书是不受任何浏览器信任的,所以用户在访问部署这类证书的网站时,浏览器会不断的弹出安全警告,非常影响用户体验度。
4、没有可访问的吊销列表
这也是所有自己生成ssl证书普遍存在的问题,做一个ssl证书并不难,使用OpenSSL几分钟就搞定,但真正让一个ssl证书发挥作用就不是那么轻松的事情了。要保证ssl证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。
所以,自己生成ssl证书是可以,但是为了网站的安全起见,还是放弃使用吧。申请一个由权威的CA机构(如Symantec、GeoTrust、Comodo、RapidSSL、Thawte等)颁发的ssl证书才是明智之举。
相关阅读推荐:《SSL证书供应商有哪些》
SSL证书品牌
-
DigiCert是全球顶尖级SSL数字证书提供商,服务于全球一百四十多个国家和地区,是名副其实的行业领导者。旗下拥有 DigiCert,Symantec,Geotrust,Thawte,RapidSSL等SSL证书品牌。
-
GeoTrust是全球第二大数字证书颁发机构,是一款优质的、高性价比的SSL证书品牌,SSL证书类型丰富,且完美支持中文域名和显示中文名称。服务范围超过150多个国家,拥有客户超过10W。
-
Sectigo(原Comodo CA)成立于1998年,是全球优秀的网络安全服务提供商和SSL证书服务商之一,其提供的SSL证书类型丰富且价格亲民,能完美的为网站和企业提供各个类型的数字证书安全解决方案。
-
GlobalSign1996年起开始颁发可信赖的SSL数字证书,是一家声誉卓越、备受信赖的SSL数字提供商,是信息安全领域的佼佼者、公众信任服务行业的领头羊。旗下拥有GlobalSign、AlphaSSL等SSL证书品牌。
-
Thawte是全球第三大数字证书颁发机构,其产品占据了全球SSL数字证书市场的40%,它是全球最早支持IDN国际语言域名的数字证书品牌,使用中文域名网站的中国用户也可以部署SSL证书来确保信息安全。
-
RapidSSL是入门级便宜SSL证书品牌,目前属于Digicert的子品牌,其根证书为Digicert,只有两款DV证书产品,相对Digicert其他子品牌的DV证书,价格便宜很多,非常适合小型网站和个人用户申请安装。
相关文章
