OpenSSL es un conjunto de herramientas de código abierto para el protocolo Transport Layer Security (TLS) ¿ Pueden los navegadores confiar en el certificado SSL generado por OpenSSL? ¿Se puede usar el certificado SSL generado por OpenSSL para el cifrado HTTPS del sitio web?
¿Qué es OpenSSL?
OpenSSL es un conjunto de herramientas de código abierto para el protocolo Transport Layer Security (TLS) basado en criptografía, que se puede dividir en tres partes funcionales principales: biblioteca de protocolos SSL, programa de aplicación y biblioteca de algoritmos criptográficos. OpenSSL implementa certificados ASN.1 y estándares relacionados con claves, y proporciona funciones de codificación y decodificación DER, PEM y BASE64 para objetos de datos como certificados, claves públicas, claves privadas, solicitudes de certificados y CRL. OpenSSL proporciona métodos, funciones y aplicaciones para generar varios pares de claves públicas y claves simétricas, y proporciona funciones de codificación y decodificación DER para claves públicas y privadas. Y realice la función de códec de PKCS#12 y PKCS#8 de la clave privada. OpenSSL proporciona la función de protección de cifrado para la clave privada en el estándar, de modo que la clave se pueda almacenar y distribuir de forma segura.
Sobre esta base, OpenSSL implementa el códec estándar X.509, el códec de formato PKCS#12 y las funciones de códec PKCS#7 para certificados, y proporciona una base de datos de texto que admite funciones de gestión de certificados, incluidas funciones de certificado como generación de claves, generación de solicitudes, emisión, revocación y verificación de certificados. En otras palabras, la aplicación CA proporcionada por OpenSSL es un pequeño centro de gestión de certificados (CA), que implementa todo el proceso de emisión de certificados y la mayoría de los mecanismos de gestión de certificados.
¿Cuáles son los riesgos de seguridad de OpenSSL generando certificados SSL?
El certificado SSL debe ser emitido por una autoridad de certificación confiable, verificar estrictamente la identidad del solicitante y ser emitido en un sistema auditado, en el que el navegador pueda confiar. Que el navegador pueda confiar en el certificado SSL generado por OpenSSL depende del tipo de certificado y de la identidad del emisor. OpenSSL puede generar certificados autofirmados y certificados de CA. Los certificados autofirmados son certificados emitidos por ellos mismos y los navegadores no confían en ellos. Si se utiliza OpenSSL para generar un certificado autofirmado, al acceder al sitio web, aparecerá el mensaje "Su conexión no es una conexión privada" y le preguntará si desea continuar accediendo. Esto se debe a que el navegador no confía en el certificado autofirmado, lo que hace que la verificación falle. Los certificados SSL autofirmados se pueden emitir a voluntad, no están supervisados y ningún navegador ni sistema operativo confiarán en ellos, y existen muchos riesgos y riesgos de seguridad.
1. Es fácil ser falsificado y utilizado por sitios web fraudulentos
Los certificados SSL autofirmados se pueden emitir a voluntad sin ninguna supervisión. ¡Los piratas informáticos también pueden falsificar un certificado autofirmado idéntico y usarlo en sitios web de phishing para falsificar un sitio web con el mismo certificado!
2. Al implementar un sitio web con un certificado SSL autofirmado, el navegador seguirá mostrando una advertencia
Los navegadores no confían en los certificados SSL autofirmados. Cuando los usuarios acceden a un sitio web implementado con certificados SSL autofirmados, el navegador seguirá mostrando advertencias de seguridad emergentes, lo que afecta en gran medida la experiencia del usuario.
3. Más vulnerable a los ataques man-in-the-middle de SSL
Cuando un usuario visita un sitio web implementado con un certificado SSL autofirmado, cuando se encuentra con un mensaje de advertencia del navegador, el sitio web generalmente le dice al usuario que haga clic en "Continuar navegando". Aprovechando esta oportunidad, el sitio web es más vulnerable -los ataques del medio.
4. No se puede acceder a la lista de revocación para verificar el estado del certificado
Este también es un problema común con todos los certificados SSL autofirmados. No es difícil hacer un certificado SSL. Se puede hacer en unos minutos con OpenSSL, pero no es tan fácil hacer que un certificado SSL funcione. Para garantizar el normal funcionamiento del certificado SSL, una de las funciones necesarias es permitir que el navegador compruebe en tiempo real si el estado del certificado ha caducado o ha sido revocado.El certificado debe tener una lista de revocación de certificados accesible para el navegador. Si el navegador no puede verificar el estado de revocación del certificado en tiempo real, una vez que el certificado se pierde o es robado y no se puede revocar, es muy probable que se use con fines ilegales y que los usuarios sufran pérdidas. Además, el navegador también emitirá una advertencia de seguridad de "La lista de revocación no está disponible, ¿continuar?", lo que prolonga en gran medida el tiempo de procesamiento del navegador y afecta la velocidad del tráfico de la página web.
5. Período de validez súper largo, cuanto más tiempo, más fácil es descifrar
El estándar internacional actual exige que el período de validez del certificado SSL no supere los 398 días. Sin embargo, la producción de certificados autofirmados es gratuita y no está regulada, y el período de validez de los certificados suele ser demasiado largo, oscilando entre 5 y 20 o incluso 30 años. El principio básico de los estándares técnicos de PKI para limitar el período de validez de los certificados es: cuanto más largo sea el período de validez, más probable es que los piratas informáticos lo descifren.