問答專欄Q & A COLUMN
以自簽名證書為例,自簽名證書長(zhǎng)期未更新,仍然使用非常不安全的1024位RSA算法和SHA-1簽名算法嗎,超長(zhǎng)的有效期和脆弱的加密算法,會(huì)讓第三者有足夠的時(shí)間來(lái)破譯,會(huì)造成很嚴(yán)重的后果。
評(píng)論0
加載中...
解釋原因:
評(píng)論0
加載中...
我們知道SSL證書有兩大關(guān)鍵作用,一個(gè)是使數(shù)據(jù)進(jìn)行高強(qiáng)度加密傳輸,保證了數(shù)據(jù)傳輸?shù)陌踩裕硪粋€(gè)是證明網(wǎng)站真實(shí)身份。由于互聯(lián)網(wǎng)時(shí)代更新?lián)Q代太快,如果證書有效期太長(zhǎng),就不能保證其網(wǎng)站的安全性。我們知道,網(wǎng)站在申請(qǐng)SSL證書的時(shí)候需要進(jìn)行身份驗(yàn)證,從而可以向用戶證明網(wǎng)站的真實(shí)身份。而縮短證書有效期,可以使證書頒發(fā)機(jī)構(gòu)及時(shí)對(duì)網(wǎng)站的最新信息進(jìn)行驗(yàn)證,從而確保了網(wǎng)站的真實(shí)身份及其安全性。國(guó)際CA組織為了對(duì)于企業(yè)的安全考慮需要,每隔一段時(shí)間對(duì)企業(yè)資質(zhì)進(jìn)行審核,建議對(duì)私鑰進(jìn)行替換。所以等SSL證書到期后需要及時(shí)找天威誠(chéng)信等CA公司進(jìn)行更新證書。同時(shí),可以考慮使用天威誠(chéng)信自主研發(fā)的證書智能管理系統(tǒng),它的一鍵下單功能支持證書到期自動(dòng)提醒,一鍵提交證書更新和替換,就不用害怕證書到期了。
評(píng)論0
加載中...
SSL證書不能長(zhǎng)期有效的原因:
1、不能保證一個(gè)合法網(wǎng)站永遠(yuǎn)不會(huì)成為一個(gè)釣魚站點(diǎn)
2、永久有效的證書導(dǎo)致CRL不斷增加,會(huì)增加瀏覽器的請(qǐng)求流量壓力
3、有效期由3年(39個(gè)月)縮短為2年(825天)。EV證書因信任級(jí)別較高,最長(zhǎng)有效期2年
4、有效期對(duì)保護(hù)證書安全性是基于PKI技術(shù)的數(shù)字證書,結(jié)合公鑰加密算法、對(duì)稱加密算法、散列算法等密碼技術(shù),用于實(shí)現(xiàn)認(rèn)證、加密、簽名等安全功能。
5、沒有合理設(shè)置SSL證書有效期,會(huì)造成極大的安全威脅。自簽名SSL證書為例,自簽名SSL證書不受國(guó)際標(biāo)準(zhǔn)制約,可以把有效期設(shè)置為10年甚至20年。自簽名證書長(zhǎng)期未更新,仍在使用非常不安全的1024位RSA算法和SHA-1簽名算法。超長(zhǎng)的有效期和脆弱的加密算法,讓黑客擁有足夠的時(shí)間和算力破解證書的加密密鑰,造成嚴(yán)重后果。
6、CA機(jī)構(gòu)必須重新驗(yàn)證身份信息,確保身份認(rèn)證信息是最新的,并仍然擁有該域名。
因此建議大家去安信證書申請(qǐng)一年或兩年期的SSL證書。
評(píng)論0
加載中...5
回答0
回答0
回答5
回答7
回答0
回答0
回答5
回答0
回答3
回答
