自签名证书说明——自签名证书的Issuer和Subject是一样的。不安全的原因是:没有得到专业SSL证书颁发的机构的技术支持?比如使用不安全的1024位非对称密钥对,有效期设置很长等...
一般的数字证书产品的主题通常含有如下字段:
公用名称 (Common Name) 简称:CN 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端证书则为证书申请者的姓名;
单位名称 (Organization Name) :简称:O 字段,对于 SSL 证书,一般为网站域名;而对于代码签名证书则为申请单位名称;而对于客户端单位证书则为证书申请者所在单位名称;
证书申请单位所在地:
所在城市 (Locality) 简称:L 字段
所在省份 (State/Provice) 简称:S 字段
所在国家 (Country) 简称:C 字段,只能是国家字母缩写,如中国:CN
其他一些字段:
电子邮件 (Email) 简称:E 字段
多个姓名字段 简称:G 字段
介绍:Description 字段
电话号码:Phone 字段,格式要求 + 国家区号 城市区号 电话号码,如: +86 732 88888888
地址:STREET 字段
邮政编码:PostalCode 字段
显示其他内容 简称:OU 字段
自签名的https证书是不安全的
一、项目内的需求
我们做的app都是企业级的应用,而企业级的应用的下载需要遵循itms协议,itms协议下需要https链接,这就需要你的服务器支持https的协议,该协议需要申请SSL证书,我们测试时用的是自签名的证书,而自签名的证书本来就就存在不安全行,自从ios10.3更新以来即使安装了自签名的证书也报错,说无法下载app,是因为苹果阻止了不受信任的证书
二、解决方案
1、自签名的证书,需要手动的为证书打开信任,通用->关于本机->证书信任设置->证书打开信任
2、申请可信任的证书像StartCom的证书,当然会很贵,关于ios中可用的受信任的根证书列表,可以参考苹果的官方的文档
https://support.apple.com/zh-cn/HT208125
三、自签名的证书为什么是不安全的
1、自签证书最容易受到SSL中间人攻击
自签证书是不会被浏览器所信任的证书,用户在访问自签证书时,浏览器会警告用户此证书不受信任,需要人工确认是否信任此证书。所有使用自签证书的网站都明确地告诉用户出现这种情况,用户必须点信任并继续浏览!这就给中间人攻击造成了可之机。
2、自签证书支持不安全的SSL通信重新协商机制
几乎所有使用自签SSL证书的服务器都存在不安全的SSL通信重新协商安全漏洞,这是SSL协议的安全漏洞,由于自签证书系统并没有跟踪最新的技术而没有及时补漏!此漏洞会被黑客利用而截获用户的加密信息,如银行账户和密码等,非常危险,一定要及时修补。
3、自签证书使用不安全的1024位非对称密钥对
而目前几乎所有自签证书都是1024位,自签根证书也都是1024位,当然都是不安全的。还是那句话:由于部署自签SSL证书而无法获得专业SSL证书提供商的专业指导,根本就不知道1024位已经不安全了
4、自签证书证书有效期太长
自签证书中还有一个普遍的问题是证书有效期太长,短则5年,长则20年、30年的都有,并且还都是使用不安全1024位加密算法。可能是自签证书制作时反正又不要钱,就多发几年吧,而根本不知道PKI技术标准中为何要限制证书有效期的基本原理是:有效期越长,就越有可能被黑客破解,因为他有足够长的时间(20年)来破解你的加密。
自签名证书的Issuer和Subject是一样的
证书的三个作用 加密通信和身份验证(验证对方确实是对方声称的对象)和数据完整性(无法被修改,修改了会被知)
mv server.key server.key.secure
mv server.key.insecure server.key
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout apache.key -out apache.crt
这里的apache.key为私钥 apache.crt为证书
自签名证书说明——自签名证书的Issuer和Subject是一样的。不安全的原因是:没有得到专业SSL证书颁发的机构的技术支持?比如使用不安全的1024位非对称密钥对,有效期设置很长等...相关推荐
- 自签名SSL证书的安全隐患和风险
自签名SSL证书,是指不受信任的任意机构或个人,使用工具自己签发的SSL证书.有一些公司或者个人出于成本的考虑,会选择使用自签名SSL证书.一旦使用这种随意签发的.不受监督.信任的证书,就很容易被黑客 ...
- JDK自带工具keytool生成ssl证书(web服务https配置)
原文:https://www.cnblogs.com/zhangzb/p/5200418.html 前言: 因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl ...
- JDK自带工具keytool生成ssl证书
前言: 因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全. 百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具: ...
- Https 与 SSl证书 概要
HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP ...
- 看完Andoird9.0 Pie的隐藏特性,我买了SSL证书
今年 8 月,Google 正式公布了 Android 9.0 ,新的甜点名称也正式揭晓--Pie.这次的大版本升级中,藏着一个不起眼的特性:默认使用 HTTPS 为了将所有网络流量从明文(未加密的 ...
- 上线网站详细介绍(服务器购买-域名申请-SSL证书申请)
文章目录 上线之前的准备工作,通俗的来讲: 服务器是什么-云服务器购买 域名解释-域名备案-域名如何申请 ①什么是域名,为什么要域名? ②为什么非要域名备案和不备案的区别? ③自己的主机怎么备案-自己 ...
- 浏览器显示”SSL证书无效”怎么办
当你浏览网页的时候,网页上显示"SSL证书无效",你是不是也曾经遇到过这种情况.为什么网页会出现这种提示?以及SSL证书是什么?针对这些问题,小编在下面的内容做详细 ...
- HTTPS SSL证书
一.证书的类型 实际上,我们使用的证书分很多种类型,SSL证书只是其中的一种.证书的格式是由X.509标准定义.SSL证书负责传输公钥,是一种PKI(Public Key Infrastructure ...
- 只有部署 SSL 证书才能保护网上隐私信息安全
只有部署 SSL 证书才能保护网上隐私信息安全 (发布时间:2009-3-18, 2009年第2号,总第68号) UPDATE: 此文内容刊登在<计算机世界>报(2009年04月06日第 ...
最新文章
- 我们是如何陷入贫穷与忙碌的?
- go kegg_零基础 GO 与 KEGG 分析,手把手教你用多种途径实现!
- python—OpenCV2中 cv2.VideoCapture(),read(),waitKey()的使用
- python电脑配置大概要多少钱-学python最电脑配置有要求么
- UnityShader入门精要-3.3 UnityShader的结构
- 从零开始——电子商务平台01
- 代码详细解析简单常用DOS命令 java会用这些就够了!
- jvm垃圾回收机制_JVM 垃圾回收机制之堆的分代回收
- python同时输出两个数组_python中实现将多个print输出合成一个数组
- 在C语言中如何高效地复制和连接字符串?
- HDU 1061 Rightmost Digit --- 快速幂取模
- js中的 toUpperCase()中开头的u和c一定要大些
- Tomcat的下载安装及静态部署
- 产品研发流程的四个里程碑
- 驱动miniPCIE网络模块EC20硬件电路详解
- 虚拟机连不上网问题详解
- win10图片查看器不见了的解决办法
- 华为Meta30 Pro怎么禁用系统更新
- 基于STM32设计物联网在线智能称重系统(OneNet)_2022
- 推荐系统组队学习03、矩阵分解
热门文章
- 一种混合加密方案在软件授权中的应用
- Xamarin环境搭建
- Stack Overflow requires external JavaScript from another domain, which is blocked or failed to load.
- 微软Win 7系统安全性方面的十大特色
- android自定义View-垂直滚动的TextView
- 突发!5G 标准进程延后 3 个月
- IIS 的身份验证简要说明 - 摘录
- 列出AD用户Lockout 位置
- Exchange-批量创建通讯组邮箱
- VB.net版机房收费系统——结账功能实现(调错与优化)