自簽名的https認證是不安全的,簽名https認證

來源:互聯網
上載者:User

自簽名的https認證是不安全的,簽名https認證

一、項目內的需求

我們做的app都是企業級的應用,而企業級的應用的下載需要遵循itms協議,itms協議下需要https連結,這就需要你的伺服器支援https的協議,該協議需要申請SSL認證,我們測試時用的是自簽名的認證,而自簽名的認證本來就就存在不安全行,自從ios10.3更新以來即使安裝了自簽名的認證也報錯,說無法下載app,是因為蘋果阻止了不受信任的認證

二、解決方案

1、自簽名的認證,需要手動的為認證開啟信任,通用->關於本機->認證信任設定->認證開啟信任

2、申請可信任的認證像StartCom的認證,當然會很貴,關於ios中可用的受信任的根憑證列表,可以參考蘋果的官方的文檔

https://support.apple.com/zh-cn/HT208125

三、自簽名的認證為什麼是不安全的

1、自簽認證最容易受到SSL中間人攻擊

自簽認證是不會被瀏覽器所信任的認證,使用者在訪問自簽認證時,瀏覽器會警告使用者此認證不受信任,需要人工確認是否信任此認證。所有使用自簽認證的網站都明確地告訴使用者出現這種情況,使用者必須點信任並繼續瀏覽!這就給中間人攻擊造成了可之機。

2、自簽認證支援不安全的SSL通訊重新協商機制

幾乎所有使用自簽SSL認證的伺服器都存在不安全的SSL通訊重新協商安全性漏洞,這是SSL協議的安全性漏洞,由於自簽認證系統並沒有跟蹤最新的技術而沒有及時補漏!此漏洞會被駭客利用而截獲使用者的加密資訊,如銀行賬戶和密碼等,非常危險,一定要及時修補。

3、自簽認證使用不安全的1024位非對稱金鑰對

而目前幾乎所有自簽認證都是1024位,自簽根憑證也都是1024位,當然都是不安全的。還是那句話:由於部署自簽SSL認證而無法獲得專業SSL認證供應商的專業指導,根本就不知道1024位已經不安全了

4、自簽認證認證有效期間太長

自簽認證中還有一個普遍的問題是認證有效期間太長,短則5年,長則20年、30年的都有,並且還都是使用不安全1024位密碼編譯演算法。可能是自簽認證製作時反正又不要錢,就多發幾年吧,而根本不知道PKI技術標準中為何要限制認證有效期間的基本原理是:有效期間越長,就越有可能被駭客破解,因為他有足夠長的時間(20年)來破解你的加密。

 

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.