自己生成ssl证书可以吗

自己生成ssl证书可以吗?这个当然是没有问题的。自己生成ssl证书也叫自签名ssl证书,是指不受信任的任意机构或个人,使用工具自己签发的ssl证书。零费用,不使用其他ssl证书所使用的信任链。

自己生成ssl证书

那么如何自己生成ssl证书呢?自己生成ssl证书可通过OpenSSL的Keytool、Adobe Reader和Apple的密钥链等工具来创建,一般流程是:

创建 RSA 私钥——生成CSR文件(可以使用OpenSSL工具包生成RSA 私钥以及CSR文件)——从密钥中删除密码短语——生成自签名证书——安装私钥和证书——配置启用ssl的虚拟主机——重新启动服务器并测试。

虽然现在依然有不少人使用这种证书,但是站在安全的角度考虑,不建议给网站使用自己生成ssl证书,因为它的缺点很多:

1、很容易被仿冒

自己生成ssl证书具有签发随意性,不受任何监管。言外之意就是很容易被黑客仿造出一模一样的证书,用在钓鱼网站上,很难分辨出真假,一不小心就入坑了,

2、超长有效期,很容易被破解

一般由受信任的CA机构颁发的ssl证书有效期都不会超过两年,而自己生成ssl证书由于不受监管,想签发几年就签发几年,有效期短则5年,长则20年甚至30年。有效期越长,就越有可能被黑客破解,因为他有足够长的时间来破解你的加密。

3、浏览器会持续弹出警告

由于自己生成ssl证书是不受任何浏览器信任的,所以用户在访问部署这类证书的网站时,浏览器会不断的弹出安全警告,非常影响用户体验度。

4、没有可访问的吊销列表

这也是所有自己生成ssl证书普遍存在的问题,做一个ssl证书并不难,使用OpenSSL几分钟就搞定,但真正让一个ssl证书发挥作用就不是那么轻松的事情了。要保证ssl证书正常工作,其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等,证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态,一旦证书丢失或被盗而无法吊销,就极有可能被用于非法用途而让用户蒙受损失。此外,浏览器还会发出“吊销列表不可用,是否继续?”的安全警告,大大延长浏览器的处理时间,影响网页的流量速度。

所以,自己生成ssl证书是可以,但是为了网站的安全起见,还是放弃使用吧。申请一个由权威的CA机构(如SymantecGeoTrustComodoRapidSSLThawte等)颁发的ssl证书才是明智之举。

相关阅读推荐:《SSL证书供应商有哪些

标签:

SSL证书品牌

相关文章

LAYOUT

SAMPLE COLOR

Please read our documentation file to know how to change colors as you want

BACKGROUND COLOR

BACKGROUND TEXTURE