OpenSSL生成SSL证书，受浏览器信任吗？

OpenSSL是用于传输层安全(TLS)协议的开源工具包，OpenSSL生成SSL证书能受到浏览器信任吗？OpenSSL生成SSL证书能不能用于网站HTTPS加密呢？

OpenSSL是什么？

OpenSSL是基于密码学的用于传输层安全(TLS)协议的开源工具包，可以分成三个主要的功能部分：SSL协议库、应用程序以及密码算法库。OpenSSL实现了ASN.1的证书和密钥相关标准，提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序，同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能，使得密钥可以安全地进行存储和分发。

在此基础上，OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能，并提供了一种文本数据库，支持证书的管理功能，包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。也就是说，OpenSSL提供的CA应用程序就是一个小型的证书管理中心（CA），实现了证书签发的整个流程和证书管理的大部分机制。

OpenSSL生成SSL证书，有哪些安全风险？

SSL证书应该由受信任的证书机构颁发，严格验证申请者身份，并在经过审计的系统中签发，可以被浏览器信任。OpenSSL生成的SSL证书能否被浏览器信任，取决于证书的类型和颁发者身份。OpenSSL可以生成自签名证书和CA证书。自签名证书是由自己颁发的证书，不受浏览器信任。如果使用OpenSSL生成的是自签名证书，则访问该网站时会提示“您的连接不是私密连接”，并提示是否继续访问。这是因为自签名证书不被浏览器信任，造成了验证失败。自签名SSL证书可随意签发，不受监管也不会受任何浏览器以及操作系统信任，存在诸多安全隐患及风险。

1.容易被假冒伪造，被欺诈网站利用

自签名SSL证书是可以随意签发的，不受任何监管，黑客也可以伪造一张一模一样的自签名证书，用在钓鱼网站上，伪造出有一样证书的假冒网站！

2、部署自签名SSL证书的网站，浏览器会持续弹出警告

自签名SSL证书是不受浏览器信任的，用户访问部署了自签名SSL证书的网站时，浏览器会持续弹出安全警告，极大影响用户体验。

3、最容易受到SSL中间人攻击

用户访问部署了自签名SSL证书的网站，遇到浏览器警告提示时，网站通常会告知用户点击“继续浏览”，用户逐渐养成了忽略浏览器警告提示的习惯，这就给了中间人攻击可乘之机，使网站更容易受到中间人攻击。

4、没有可访问的吊销列表，无法验证证书状态

这也是所有自签名SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟就搞定，但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等，证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态，一旦证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。此外，浏览器还会发出“吊销列表不可用，是否继续？”的安全警告，大大延长浏览器的处理时间，影响网页的流量速度。

5、超长有效期，时间越长越容易被破解

目前国际标准要求SSL证书有效期不超过398天。而自签名证书制作无成本、不受监管，证书有效期普遍太长，短则5年，长则20年甚至30年。PKI技术标准限制证书有效期的基本原理是：有效期越长，就越有可能被黑客破解。

访问沃通CA官网了解更多SSL技术信息，关注沃通最新优惠活动“沃通SSL证书618年中大促”。