尽管你会得到一个大红色的威胁警告信息,告诉您该证书没有被那些证书颁发机构之一验证或已过期,什么与它是坏的相比,仅仅使用HTTP? 它是恶化或不?
据谷歌Chrome浏览器( http://www.sslshopper.com/assets/images/chrome-beta-ssl-2.png )«可能是攻击者试图拦截您的通讯»。 是什么让这个浏览器,几乎所有的人在养自签名/证书过期的情况下,这样的警告(和我没有写明确地验证为无效的证书),而不是与HTTP浏览的情况下? 同样,它比使用HTTP浏览不安全呢?
它显然更有威胁浏览使用自签名HTTPS证书的网站比HTTP这样浏览完全一样的网站,是那些现代的浏览器的行为是一个骗局,使诚实的企业购买SSL证书,他们可能不需要?
自签名证书不严格比著名的CA签名的证书糟糕的是 , 在所有的技术方面 ,他们比普通的HTTP更好。
从签名和加密角度来看,他们是相同的 。 双方可以签署,因此,这是不可行的他人窥探或进行修改的流量进行加密。
不同的是,作为受信任的证书被指定的方式。 随着CA签名证书用户信任的一组他们已经安装在他们的浏览器/操作系统信任的CA。 如果他们看到证书由签署的其中之一,他们接受它,一切都很好。 如果不是(例如,当自签名),你会得到一个大的吓人的警告。
将显示自签名证书此警告的原因是,浏览器不知道谁控制了证书。 该CA的浏览器信任是众所周知的验证,他们只签了网站所有者的证书。 因此,浏览器,通过延伸相信证书的对应私钥由网站运营商控制的(希望是)。 使用自签名证书的浏览器没有办法知道,如果是由网站的所有者,或一些人在想读你的流量中间生成证书的方式。 为了安全起见,浏览器拒绝证书,除非它被证明有效的......,你会得到一个大红色的警告。
有关此警告的最重要的事情是,它为您提供了一种方式来获得有关证书的信息。 如果你知道你所期望的证书,让你可以信任证书,你的浏览器可以让您连接相当愉快。 当然,这是伟大的,如果你知道你期望得到证书。 它可以让你甚至不相信任何CA(任何可信CA可以生成一个受信任的证书并截获您的流量,如果他们想)如果你想。
如果你不确认你没有获得通过未加密的HTTP,你和服务器之间的任何人都可以只生成自己的证书的证书,你会毫无收获。 这可以被认为比普通HTTP更糟,因为我们人类与我们软弱的情绪可能会被误导以为我们的连接是安全的,但在HTTP上唯一的技术缺点是一些浪费CPU周期。
因此,对于一个私人网站 ,这只是一对夫妇的人访问,您可以分发证书自签名实际上是比受信任的证书更好 。 然而,对于公共互联网,你不能指望用户验证证书(你会如何安全地传输反正细节),如果聪明的,他们可能会转向和运行。
对于过期的证书,他们是不是真的比有效问卷差。 究其原因证书到期是让他们通过破解它们变得可行(希望)时失效。 所以,昨天过期则将于明天到期的证书和之间的差异可以忽略不计。 不过,我会比有点担心,几年前过期的证书等等。
如果你想提供一些额外的安全性有一个新的标准 (即只在Firefox中实现的时刻)。
机会主义加密提供了支持客户端和服务器,而无需验证之间进行加密。 它允许您使用自签名证书,而不会产生任何警告。
之所以投机加密是更好然后使用自签名的证书和HTTPS的是, 它没有提供建议,该连接是安全的用户 。 给用户的连接似乎是一个普通未加密的HTTP连接,但在引擎盖下的SSL连接被用来阻止被动攻击者。
同样,如果你实际上是验证自签名的SSL证书是最好的。 但是,如果你只是想提供未经验证的加密停止流量嗅探机会加密提供了有利的一面,而不欺骗用户以为他们正在使用的安全连接。
所有的意见,并进一步研究后,我加入我自己的答案。
我认为这是一个自签名和/或过期的HTTPS证书(即提高在浏览器的警告)比只使用HTTP,原因如下更糟 :
当用户使用HTTPS浏览时,他/她假定它是安全的,那么网站应该返回一个有效的证书。 如果不是这种情况(自签名和/或过期的HTTPS证书),那么它是不安全的。 这可能是一个真正的威胁或者证书配置/部署一个简单的问题,但是,它仍然是一个问题,用户应该停止,如果他/她没有关于这个网站的详细信息浏览。
然而,还有一种情况,在我自己今天,当用户有关于该网站的详细信息找到。 让我们想象一个小公司,其中只有两名员工需要访问一个网站管理平台。 如果这两名员工都知道,这个平台没有任何的CA(认证机构)签署的证书,它仍然是更好,因为,至少,通信cyphered不是通过不安全的HTTP通过这个不安全的HTTPS通信。 这样做会减少受攻击的可能性,即使它并不妨碍它。
这就是说,即使今天HTTPS证书可自由快速传递,它会一直很大,在昂贵的证书时,有HTTP和HTTPS之间的中介协议。 有未更少安全协议高于HTTP其中存在像SSL证书但其中数据被cyphered没有验证。
自签名和证书颁发机构签署的证书只提供加密和HTTPS连接, 但这是安全结束的相似之处。 不幸的是自签名的数字证书,只有谁从自己的服务器创建的证书的人都知道这事。 例如......这是哪里人存储密钥对的? 还有谁有权访问该密钥对? 如何做一个访问者知道这是域名的合法拥有者? 问题的关键是,无需知识的过程中,网站访问者(即使是技术熟练的访问者)不知道如何将密钥对创建HTTPS连接已被处理。 当网站访问者看到例如由信誉良好的证书颁发机构签署的HTTPS连接例如Thawte(由赛门铁克收购),至少参观者知道域名所有权进行了检查,签名证书由受信任的权威机构高度安全。
自签名的证书是功能上等同于一个有符号的一个(假定相同的密钥长度)。 固有的安全性是一样的。 然而,这并不是说,它提供了相同的安全级别给最终用户,因为他们没有办法知道谁签署的证书或是否应该被信任的方式。
这对ISP(或任何一个)来读取已签署,因为它是用一个证书颁发机构自发送通信签署一个不容易。
是的,它使用自签名证书的网站没有登记,也没有验证 - 攻击者只要将证书和冒充的网站 - 被用来点击即可这些警告你不会注意到其中的差别。
SSL certficates是免费的今天,每一个“站长”谁不使用这些服务是......不称职的,其实你应该避开这些部位。
是那些现代的浏览器的行为是一个骗局,使诚实的企业购买SSL证书
就像我说的:证书是免费的 ,网站管理员只需要注册-这是在不到20分钟内完成。
同样,它比使用HTTP浏览不安全呢?
在某些方面:是的,因为它“火车”用户忽略非常重要的警告
