方案1:如果在内部网站上使用自签名证书,则仍在使用加密。最大的安全性问题(我知道)是您的浏览器无法将该证书识别为受信任的事实,并且当您告诉您的浏览器信任该证书时,大多数人都不会验证您所信任的证书确实是Web服务器上的证书,而不是用自己的证书代替您的证书的中间人系统。因此,这里的安全问题很明显。
方案2:使用来自全球信任的实际CA的有效X509证书,当证书过期时,如果您选择绕过浏览器的警告并使用网站登录,那么安全问题是什么?您仍在使用加密。私钥在Web服务器上仍然是安全的。如果中间人系统尝试替换证书,则可能会在浏览器中收到有关证书无效的警告,而不是有关证书已过期的警告。
PS。有整篇关于Dangers of SSL Certificate Expiration的文章,但它所做的只是提及仅适用于公共网站(而非内部网站)的业务方面(而非技术方面的缺点),并提及诸如“个人信息可能受到威胁中间人攻击”,对于他们为什么认为是这种情况的解释为零。我不确定他们是否知道。我觉得互联网上的大多数网站都是针对这样一个复杂的主题执行此操作的-他们说他们认为是正确的通用说法,但不知道为什么。
答案 0 :(得分:4)
证书具有生命周期,以简化证书吊销。证书过期后,将其视为无效,这意味着CA无需保留此证书的吊销信息,也无需应客户端的要求提供该吊销信息(即,对CRL,OCSP等的吊销检查)。
因此,如果过期的证书受到威胁(攻击者知道私钥),则证书所有者无法撤消该证书,因为该证书已经无效。这意味着中间的人可以用原始证书和被盗的私钥来模拟原始服务器,并且客户端无法通过检查吊销来检测到这一点。