自己生成的SSL證書也叫自簽名SSL證書,簽發很隨意,任何人都可以簽發,容易被黑客仿冒利用,不是由正規的CA機構頒發的,所以不受瀏覽器的信任。
而付費的SSL證書,是由受信任的CA機構頒發的,申請時會對域名所有權和企業相關信息進行驗證,安全級別是比較高的,而且備受各大瀏覽器的信任。當然是付費的好。
自簽名SSL證書的缺點如下:
1、自籤SSL證書最容易被假冒和僞造,被欺詐網站利用
自籤SSL證書是可以隨意簽發的,不受任何監管,您可以自己簽發,別人也可以自己簽發。如果您的網站使用自籤SSL證書,那黑客也可以僞造一張一模一樣的自簽證書,用在釣魚網站上,僞造出有一樣證書的假冒網銀網站!
2、部署自籤SSL證書的網站,瀏覽器會持續彈出警告
自籤SSL證書是不受瀏覽器信任的,用戶訪問部署了自籤SSL證書的網站時,瀏覽器會持續彈出安全警告,極大影響用戶體驗。
3、自籤SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自籤SSL證書的網站,遇到瀏覽器警告提示時,網站通常會告知用戶點擊“繼續瀏覽”,用戶逐漸養成了忽略瀏覽器警告提示的習慣,這就給了中間人攻擊可乘之機,使網站更容易受到中間人攻擊。
4、自籤SSL證書沒有可訪問的吊銷列表
這也是所有自籤SSL證書普遍存在的問題,做一個SSL證書並不難,使用OpenSSL幾分鐘就搞定,但真正讓一個SSL證書發揮作用就不是那麼輕鬆的事情了。要保證SSL證書正常工作,其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等,證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態,一旦證書丟失或被盜而無法吊銷,就極有可能被用於非法用途而讓用戶蒙受損失。此外,瀏覽器還會發出“吊銷列表不可用,是否繼續?”的安全警告,大大延長瀏覽器的處理時間,影響網頁的流量速度。
5、自籤SSL證書支持超長有效期,時間越長越容易被破解
自簽證書中還有一個普遍的問題是證書有效期太長,短則5年,長則20年甚至30年。因爲自簽證書製作無成本無監管,想簽發幾年就簽發幾年,而根本不知道PKI技術標準限制證書有效期的基本原理是:有效期越長,就越有可能被黑客破解,因爲他有足夠長的時間(20年)來破解你的加密。