目前，有许多重要的公网可以访问的网站系统都在使用自签名SSL证书，即自建系统颁发的SSL证书，而不是部署支持浏览器验证的SSL证书，自签证书普遍存在严重的安全漏洞，极易受到攻击。为什么自签名SSL证书不安全?自签名SSL证书有哪些安全隐患?

一、为什么自签名SSL证书不安全?

前几乎所有自签证书都是1024位密钥，自签根证书也都是1024位。而1024位RSA非对称密钥对已经不安全了。美国国家标准技术研究院要求停止使用不安全的1024位非对称加密算法，微软已经要求将所有1024位根证书从Windows受信任的根证书颁发机构列表中删除;谷歌chrome对自签名SSL证书发出安全警告，从而可能影响网站流量。

二、自签名SSL证书有哪些安全隐患?

1.最容易受到SSL中间人攻击

自签证书是不会被浏览器所信任的证书，用户在访问自签证书时，浏览器会警告用户此证书不受信任，需要人工确认是否信任此证书。所有使用自签证书的网站都会明确地告诉用户这种情况，用户必须点信任才可继续浏览!这就给中间人攻击造成了可乘之机。

典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并与做一个假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。如果服务器部署的支持浏览器的可信的SSL证书，则浏览器在收到假的证书时会有安全警告，用户会发觉不对而放弃连接，从而不会被受到攻击。但是，如果服务器使用的是自签证书，用户会以为是网站又要他点信任而麻木地点信任了攻击者的假证书，这样用户的机密信息就被攻击者得到，如网银密码等，则非常危险，所以，重要的网银系统绝对不能用自签SSL证书!

2.最容易被假冒和伪造

所谓自签证书，就是自己做的证书，既然你可以自己做，那别人也可以自己做，可以做成跟你的证书一模一样。

而使用支持浏览器的SSL证书就不会有被伪造的问题，颁发给用户的证书是全球唯一的可以信任的证书，是不容易被伪造的，一旦欺诈网站使用伪造证书(证书信息一样)，由于浏览器有一套可靠的验证机制，会自动识别出伪造证书而警告用户此证书不受信任。

3.自签名SSL证书还存在风险

(1)不受浏览器信任，会持续弹出安全警告，影响用户体验。

(2)自签名SSL证书没有可访问的吊销列表。

(3)支持超长有效期，时间越长越容易被破解。

为了保证网络系统安全，请慎重使用自签名SSL证书，容易带来巨大的安全隐患和安全风险，特别是重要的网银系统、网上证券系统和电子商务系统。推荐使用受信任的CA机构提供的SSL证书。如果是重要的网银系统、电子商务系统等，最好使用付费的企业级OV SSL证书或者增强型EV SSL证书。客户可以选择证书品牌CATrust证书，采用中国区OCSP延时低，兼容所有浏览器和操作系统！