OpenSSL は、Transport Layer Security (TLS) プロトコルのオープン ソース ツールキットです。OpenSSLによって生成されたSSL 証明書はブラウザで信頼できますか? OpenSSL で生成された SSL 証明書は Web サイトの HTTPS 暗号化に使用できますか?
OpenSSLとは何ですか?
OpenSSL は、暗号化に基づくトランスポート層セキュリティ (TLS) プロトコルのオープン ソース ツールキットであり、SSL プロトコル ライブラリ、アプリケーション プログラム、および暗号化アルゴリズム ライブラリの 3 つの主要な機能部分に分けることができます。OpenSSL は、ASN.1 証明書およびキー関連の標準を実装し、証明書、公開キー、秘密キー、証明書リクエスト、CRL などのデータ オブジェクトの DER、PEM、および BASE64 エンコードおよびデコード機能を提供します。OpenSSL は、さまざまな公開キーのペアと対称キーを生成するためのメソッド、関数、およびアプリケーションを提供し、公開キーと秘密キーの DER エンコードおよびデコード機能を提供します。そして秘密鍵のPKCS#12とPKCS#8のコーデック機能を実現します。OpenSSLは秘密鍵の暗号化保護機能を標準で提供しており、秘密鍵を安全に保管・配布することができます。
これに基づいて、OpenSSL は、証明書用の X.509 標準コーデック、PKCS#12 形式コーデック、および PKCS#7 コーデック機能を実装し、鍵の生成、リクエストの生成、認証機能などの証明書管理機能をサポートするテキスト データベースを提供します。証明書の発行、失効、検証。つまり、OpenSSL によって提供される CA アプリケーションは、証明書発行のプロセス全体と証明書管理メカニズムのほとんどを実装する小規模な証明書管理センター (CA) です。
OpenSSL が SSL 証明書を生成する場合のセキュリティ リスクは何ですか?
SSL 証明書は、信頼できる認証局によって発行され、申請者の身元が厳密に検証され、ブラウザーが信頼できる監査システムで発行される必要があります。OpenSSL によって生成された SSL 証明書をブラウザが信頼できるかどうかは、証明書の種類と発行者の ID によって異なります。OpenSSL は自己署名証明書と CA 証明書を生成できます。自己署名証明書は自分自身で発行された証明書であり、ブラウザーによって信頼されません。OpenSSL を使用して自己署名証明書を生成している場合、Web サイトにアクセスすると、「あなたの接続はプライベート接続ではありません」というメッセージが表示され、アクセスを続行するかどうかを尋ねられます。これは、自己署名証明書がブラウザーによって信頼されず、検証が失敗するためです。自己署名 SSL 証明書は任意に発行でき、監視されておらず、どのブラウザーやオペレーティング システムからも信頼されず、多くのセキュリティ上のリスクとリスクがあります。
1. 偽造されやすく、詐欺サイトに利用されやすい
自己署名 SSL 証明書は、何の監督も受けずに自由に発行できるため、ハッカーが同一の自己署名証明書を偽造し、それをフィッシング Web サイトで使用して、同じ証明書を使用した偽の Web サイトを偽造することもできます。
2. 自己署名 SSL 証明書を使用して Web サイトを展開すると、ブラウザーは引き続き警告をポップアップ表示します。
自己署名 SSL 証明書はブラウザによって信頼されないため、自己署名 SSL 証明書が導入された Web サイトにユーザーがアクセスすると、ブラウザは引き続きセキュリティ警告を表示し、ユーザー エクスペリエンスに大きな影響を与えます。
3. SSL 中間者攻撃に対して最も脆弱
ユーザーが自己署名 SSL 証明書を導入した Web サイトにアクセスすると、ブラウザーの警告プロンプトが表示され、通常、Web サイトはユーザーに「閲覧を続ける」をクリックするよう指示します。この機会を利用して、Web サイトは人的侵入に対してより脆弱になります。 -真ん中の攻撃。
4. 証明書のステータスを確認するためにアクセスできる失効リストがない
これは、すべての自己署名 SSL 証明書に共通する問題でもあります。SSL 証明書の作成は難しくありません。OpenSSL では数分で作成できますが、SSL 証明書を機能させるのはそれほど簡単ではありません。SSL 証明書の正常な動作を保証するために、必要な機能の 1 つは、ブラウザで証明書のステータスが期限切れになっているか、失効しているかをリアルタイムで確認できるようにすることです。証明書には、ブラウザからアクセスできる証明書失効リストが必要です。ブラウザが証明書の失効状況をリアルタイムで確認できない場合、証明書が紛失または盗難に遭って失効できなくなると、不正な目的に使用され、ユーザーに損害が発生する可能性が非常に高くなります。さらに、ブラウザは「失効リストは利用できません。続行しますか?」というセキュリティ警告も発行するため、ブラウザの処理時間が大幅に長くなり、Web ページのトラフィック速度に影響します。
5. 有効期間が非常に長く、長ければ長いほど解読されやすくなります。
現在の国際標準では、SSL 証明書の有効期間が 398 日を超えてはいけないと定められています。ただし、自己署名証明書の作成は無料で規制されておらず、証明書の有効期間は一般に長すぎて、5 年から 20 年、さらには 30 年に及ぶこともあります。証明書の有効期間を制限する PKI 技術標準の基本原則は、有効期間が長いほど、ハッカーによって解読される可能性が高くなります。