自签证书为什么不安全


我们知道,对互联网上的任何两个可通信主体而言,在没有进行相互的身份认证之前,对方都是不可信的。这样就没法保证通信数据的安全性,甚至没法确认直接通信方的真实身份。

无信任,就无安全可言。这是安全通信的准则。

所以,就需要一个大家公认的第三方可信机构(CA),而这个CA是信任体系的基础。

例如,如果A和B进行通信,但是A和B之间并不信任对方,这时候只需要这个公认的CA来证明A、B的合法性,信任问题就解决了。

那么CA又是怎么来证明A、B的合法性的呢?

首先要明确的是,CA的公钥证书已经内置到各大主流操作系统系统和浏览器中。

接下来以A为例,A的合法性证明过程大致有以下几个步骤:

  1. A在CA上注册认证信息并上传自己的公钥(Public Key);
  2. CA对A注册的信息进行认证以确认A的合法性;
  3. 认证通过后,CA用自己的私钥对A的公钥进行签名;
  4. 然后将签名、公钥以及其他信息一起放入公钥证书颁发给A;
  5. B获取到A的公钥证书,利用自身系统中内置的CA公钥证书中的公钥对签名进行验签。

B验签,只证明了一件事情,证明这个证书及其所有者是合法的。

这样后续的会话密钥的交换及数据加密都能安全的在此信任基础上进行了。

回到标题,为什么自签名证书不安全呢?

理解了上面的过程,这个就不难理解了,进行自签名证书的机构或者公司本身就是不可信的,所以自签的证书是没法证明其合法性的。接下来的所有操作都是建立在这个不可信基础上,安全也就谈不上了。

自签证书有证书被伪造的可能性,而且最容易受到SSL中间人攻击。

综上,交流的基础是信任。

扩展阅读:七个理由告诉你为什么不能选择自签SSL证书?

知识共享许可协议本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。
本站文章除注明转载/出处外,均为本站原创或翻译,请务必在遵守许可协议的前提下转载。
发布时间:2019-08-02 01:09:29 阅读:242 标签:技术