我有一个在IIS Windows服务器上运行的portofolio网站,如果这很重要。但有些人抱怨他们得到的网站不安全"当浏览网站时。我个人没有得到那个错误,我尝试了网站上的其他转移,他们也没有得到它。
可能与SSL证书有关吗?我没有买一个,但根据ssl checker我有自签名证书 我需要购买值得信赖的SSL证书吗?还是有另一个问题?
在我的网站上,我有一个"联系我们"带有网页表单的页面,用户应填写姓名,电子邮件......
编辑:我不知道在这里发布网站链接是否可以,如果需要,请告诉我。编辑:链接到网站here。
答案 0 :(得分:1)
这是自签名证书的一般问题,因为您网站的访问者或其浏览器无法验证您的服务器的身份。原因是,没有证书颁发机构对其进行签名,因此浏览器没有与您的证书链接的信任链中的(根)证书。
此post
中详细说明了自签名证书的此问题风险是针对客户的。 SSL服务器证书的要点是客户端使用它来了解服务器公钥,并保证密钥确实属于预期的服务器。保证来自CA:CA应该在颁发证书之前对请求者身份进行广泛的验证。
当客户端(用户及其Web浏览器)"接受"一个尚未由客户端信任的CA之一颁发的证书(由Microsoft嵌入Windows的CA),则风险在于客户端当前正在与虚假服务器通信,即受到攻击。请注意,无论CA证书是否由主流CA颁发,被动攻击(攻击者观察数据但不以任何方式改变它)都会被SSL阻止。
一般情况下,您不希望训练您的用户忽略来自浏览器的可怕安全警告,因为这会使他们容易受到此类服务器模拟攻击(这种攻击难以安装,例如DNS中毒) 。另一方面,如果您可以通过其他方式确认证书是真实的,那么浏览器将记住证书,并且只要使用相同的自签名证书,就不会显示后续访问的警告。新提出的融合PKI是这一原则的延伸。请注意这个记得的证书"只要证书不变,就会保留,因此您确实希望在不久的将来设置自签名证书的到期日期(但如果您想避免互操作性问题,则不要超过2038年)。
应该注意的是,由于自签名证书不是“管理”的。由CA,没有可能的撤销。如果攻击者窃取您的私钥,您将永久丢失,而CA颁发的证书仍然具有撤销的理论安全网(CA可以声明给定证书已损坏的方式)。实际上,当前的Web浏览器无论如何都不会检查撤销状态。