1987WEB视界-分享互联网热门产品和行业

您现在的位置是:首页 > 域名 > 正文

域名

为什么有这么多无效SSL证书

1987web2023-09-25域名112
有很多关于无效SSL证书流行广泛的轶事证据,很难找到没有遇到过无效SSL证书的人。为什么有这么多无效SSL证书?安信证书分析了一下,主要是以下几个根本原因:

有很多关于无效SSL证书流行广泛的轶事证据,很难找到没有遇到过无效SSL证书的人。为什么有这么多无效SSL证书?安信证书分析了一下,主要是以下几个根本原因:

1、配置错误的虚拟主机

今天,多数网站只在端口80上运行且不使用加密。一个常见的配置错误是让这些明文网站和在443端口上使用加密的其他网站使用同一个P地址。这样一来,如果用户尝试使用https明文协议访问网站的话,就会导致错误的发生:证书和域名不匹配。

这个问题的部分原因是,在技术层面,我们没有一种机制可以使得网站来声明是否支持加密。从这个角度来看,托管明文网站的正确做法是让它们使用关闭了端口443的P地址。

2、域名覆盖范围不足

在少数场合下,网站管理员购买并部署了SSL证书,但是SSL证书中没有包含全部的网站域名。例如,你在www.anxinssl.com上运行了一个网站,证书可能包括这个域名以及anxinssl. com。如果网站还有其他的域名,证书中也需要包含那些域名,这点通配符证书/多域名SSL证书可以做到。

3、自签名证书和私有CA

自签名SSL证书以及私有CA签发的证书不适合在公开场合使用。这类证书无法简单并可靠地与中间人攻击的证书区分开。在我的调查中,大约48%的无效证书是因为这个原因。

那么为什么人们要使用这类证书?原因有很多:(1)购买、配置和续签证书带来了额外的工作,而且需要持续投入;

(2)直到几年前,证书的价格仍比较昂贵;

(3)一些人认为公共可信的证书应该是免费的,因而拒绝进行付费购买。然而,最简单的事实是公共可信证书对于公开网站是适合的。我们目前对此还没有替代品。

4、设备使用的证书

当今,很多设备都有基于Web的管理界面,这些界面要求使用安全通信。当这些设备被制造出来的时候,域名和IP还无法确定,这意味着生产厂商无法安装有效的证书。理论上来讲,最终用户可以自己在设备上安装证书,但是很多这种设备都不常用,因此也就不值得去购买并安装SSL证书。此外,很多设备的管理界面也不允许用户自己配置证书。

5、过期的SSL证书

另外一个无效证书产生的重要原因是过期。在我的调查中,57%的无效证书是由于过期导致的。在很多情况下,网站的管理员忘记去续签证书,或者放弃了取得有效证书的想法,但是并没有将老的证书下线。

6、错误的配置

另外一个常见的问题是错误的配置。为了让一张证书受到信任,每个浏览器都需要建立起一条信任链,从服务器证书到一个可信任的根证书。服务器需要提供除了根证书之外的整个信任链,但是根据 SSL Pulse的数据,大约6%的服务器证书链不完整。在某些情况下,浏览器可以对此作出变通,但是通常它们并不会这样做。