什么是自签证书?

自签名加密证书是由签发人自己的私人钥匙认证的数字证书。未经认可的认可 证书管理局 (ca),在许多系统中,这些证书通常不受默认信任,这可能导致公共网站上的警告或错误。  

但自签名加密证书仍然很普遍。它们现在主要用于内部目的,例如测试、开发环境或私人网络,而第三方验证的需求小。

使用自签名加密证书,主要是在最少治理的内部环境中使用,可能给安全小组带来重大挑战。主要问题在于对这些证书的数量、安装地点、所有权和私钥存储的监督往往有限。缺乏能见度增加了安全漏洞的风险。此外,解决这些漏洞的过程由于一个关键的限制而进一步复杂化:与公共信任证书管理机构(CA)签发的证书不同,自签名加密证书缺乏撤销能力,给其管理增加了一层复杂性。

想知道你应该如何管理企业中的自签名加密证书?下面是优点、缺点和选择。

自行签署证书的好处

自我签名证书最明显的好处是省钱和减少行政努力。此外,自签名加密证书是确保内部通信或测试环境安全的有效选择。

如果有适当的担保,自签名加密证书实际上可以降低使用CA签发的证书进行内部通信的风险。不过,如果你没有能力持续监控和保护自签名加密证书,网络罪犯可以进行"中间人"攻击模仿银行、电子商务和社交媒体网站。

以下是使用自签名加密证书的共同优势的细目:

· 成本效益高的解决方案:自签名加密证书的创建和实施不产生任何费用,提供了一种对预算有利的证书管理局签发证书的替代办法。

· 用户友好和快速部署:生成和实现自签名加密证书的过程是简单和快速的,使它们成为临时设置或本地化系统的实用选择。

· 无限制的证书创建:开发人员和系统管理员可以生成的自签名加密证书的数量不受限制。这种自主权消除了依赖外部团队创建这些证书的必要性。

· 内部应用程序的理想:由于外部证书管理机构没有验证,自签名加密证书特别适合在内部网络、私人基础设施和测试环境中使用。在这些场景中,主要关注的是加密,信任验证是次要考虑。

自我签署证书可考虑的风险、挑战和要点:

与由CA签名的证书相比,自签名加密证书通常被认为不太值得信任,因为它们在同一实体中包含公共和私人密钥。对于已签署的证书,受信任的证书管理机构必须核实证书申请者的域名所有权和身份信息,而任何人都可以生成自签名的证书,而不必通过这种认证手段提交。

了解内部开发人员如何使用自签名加密证书也很重要。而不是购买CA证书,个人倾向于依赖于开放的SSL实现来创建他们需要的证书。这就要求开发人员独立地请求和配置每个证书,这是一个巨大的努力,基本上抵消了CA的管理责任。

自我签署证书的其他常见限制和考虑因素包括:

· 缺乏信任验证:自签名加密证书的主要限制是缺乏外部信任验证。由于不被认可的证书管理机构(CA)认可,它们通常会在Web浏览器和其他客户端应用程序中触发警告警报,并向用户发出信号,提醒他们小心行事。

· 增加的安全风险:在妥协的情况下,自行签名的证书可能成为重大的安全责任。攻击者可能利用这些证书来模拟他们所代表的实体,从而导致潜在的安全漏洞。

· 手动信任配置的必要性:要接受自签名加密证书,用户必须进行手动将证书添加到其信任存储库的过程。这一程序需要一定水平的技术敏锐性,对于没有技术专门知识的用户尤其具有挑战性,常常被认为是不方便和复杂的。

· 缺乏支持和保证:签发公共证书的证书机构提供一系列服务,包括支持、专门知识和管理证书的工具。然而,如果有内部创建的自签名加密证书,则无法获得此类外部支持和资源。管理这些证书需要专门的人力和财政投资,以保持有效的控制和监督。

自签证书的有效期为何?

自签名加密证书的关键限制之一常常被错误地认为是一种好处:自签名加密证书,不论其类型(TLS/SSL、S/MIME、文件签名或代码签名),都不能撤销,而且永远不会过期。这就使得无法识别已妥协的证书,这有几个安全挑战。如果发现证书已被破坏,CA可以撤销证书,但是组织必须通过替换或轮换证书的过程。这种围绕证书的"设置并忘记它"的心态,再加上无法迅速撤销与自签名加密证书相关的保密密钥,可能会为恶意攻击者打开大门。我们发现,缩短证书有效期是一件好事.选择延长有效期可能导致在记住证书的存在及其失效日期方面的挑战,增加忽略证书的风险。

相比之下,为TLS/SSL目的公开信任和使用的证书有效期有限。自2020年以来,这类证书的有效期不得超过13个月,谷歌提议90天证书的授权.以前,在2015年之前,其有效期最长为五年,但这一有效期已逐步缩短为一年,这一变化既影响到扩展验证(EV),也影响到组织验证(OV)TLS/SSL证书。

自签名加密证书类型与其他证书类型有何不同?

证书根据其提供的信任程度而有所不同。主要有两种类型:公开和私人信任证书,它们在建立信任的方式上有所不同。

包括自签名加密证书在内的私人信任证书通常是在组织内部自签名或创建的,或用于在私人网络中使用。由于这些证书没有被外部CA验证,因此需要用户手动将它们添加到系统的信任存储库中,以进行识别和信任建立。

公开可信证书,由可信证书管理机构(如:加密证书、数码证书、或安全证书)签发,经过彻底验证,以确认域名的身份和所有权。这些证书被Web浏览器和客户端应用程序自动信任,避免向用户发出任何警告信息。

组织严重低估主动证书

许多组织经常错误计算系统中运行的活动证书的实际计数。例如,一家著名的零售公司最初以为它有大约5000张有效证书,结果却发现实际数字是惊人的20000张!更重要的是,这些证书中有5000多份基本上是"孤儿"--缺乏指定的所有者,也缺乏对其功能、权限和负责方的明确理解。在经常使用自签名加密证书的环境中,这种监督往往是一个普遍的问题。

将自签名加密证书的固有弱点与许多组织遇到的常见操作困难(例如过期证书或配置不当证书)结合起来,就可以清楚地看出,攻击者如何能够轻易地利用这些漏洞。实施强有力的机器身份管理方法至关重要。该战略应侧重于监测和检测证书,确定操作中的未授权证书,并促进迅速纠正行动。为了进一步提高安全性,设定标准基线,并自动获取新的证书,以取代任何不符合本组织既定政策准则的证书。

机器身份管理解决方案,例如:维纳菲的保护,消除使用自动化和完全可见度证书的CA签名证书的头大和人为错误。准确地发现您在不同环境中拥有多少密钥和证书,并实现自动替换。

利用自签名加密证书的网络攻击

几次攻击成功地利用了自签名加密证书。例如,Dair银行木马的一个变体使用一个自签名的证书,在443端口和4443端口上与它的指挥控制(C∓c)服务器进行通信。这个证书使DYERR变体的过滤流量看起来像常规浏览器流量,从而使恶意软件更难以检测和分析。

DYERE不是使用自签名加密证书的恶意软件。另一个非常复杂的银行木马网络复制戴尔的安全通信模型与自己的C∓C基础设施。相比之下,苹果制造的威胁闪回使用自签名加密证书欺骗用户在他们的机器上安装木马。

回忆起2014年心脏流血的脆弱性?这一安全漏洞凸显了各组织在多大程度上毫无疑问地依赖钥匙和证书,以及网络犯罪者如何能够迅速和毫不费力地利用与信任有关的弱点。值得注意的是,即使在最初的发现三年之后,成千上万的服务仍然容易受到心脏出血的感染。 

结论

了解自己签名的证书对于任何热衷于维护强大网络安全的组织都至关重要。正如我们所探讨的,这些证书虽然提供了成本效益和生成方便等好处,但也有重大缺陷,特别是在信任验证和安全风险方面。航行这些水域需要谨慎的方法,平衡优势和潜在的弱点。