Venafi的Scott Carter提供了一些在部署自簽名證書之前的忠告。

自簽名證書是一種你使用像openssl那樣的工具，在本地創(chuàng)建而不是從公共證書機構(gòu)（CA）那里申請來的證書。幾乎沒有人還在面向公眾的網(wǎng)站上使用自簽名證書（因為它們沒有包含在主要瀏覽器的可信存儲中，并且會向網(wǎng)絡(luò)訪問者觸發(fā)一個警告）。然而，仍舊有一些企業(yè)還在其網(wǎng)絡(luò)中使用它們，或者將其用于開發(fā)運維中的測試環(huán)境。

然而，有些人仍舊認(rèn)為自簽名證書在本質(zhì)上是危險的，因為它們在相同的實體中同時包含了公有和私有密鑰。從這種意義上來說，自簽名證書是不會受到廣泛信任的，就像由公共證書機構(gòu)等值得信任的第三方機構(gòu)所簽發(fā)的證書那樣。但是一些安全專家感到，內(nèi)部使用曝光是相對有限的。McAfee實驗室的研究人員指出，自簽名證書是那種在沒有私有密鑰的情況下便不能生成的獨一無二的證書。他們繼續(xù)指出，潛在的曝光可能是有限的，即使密鑰被泄露了。

“被破壞的證書”將會被扔掉，從服務(wù)中移除出去，因為它不能用來在雙方之間建立信任。因為舊有的證書是自簽名的，所有它也不會用于其他用途，比如TLS服務(wù)器端身份認(rèn)證。”

這可能是真的，但是在被替換掉了之后，被破壞的證書會發(fā)生什么情況呢？因為它不是由證書機構(gòu)簽發(fā)的，所以不能進行撤銷和禁用。最好的情況下，你最終可能會獲得大量壞死的、既不能使用也不能避免證書。最壞的情況下，你可能因過期的證書而遭受崩潰事故，而這你甚至都不知道，并且無法定位。

這意味著你在使用自簽名證書時必須慎重考慮。根據(jù)部署情況的不同，自簽名證書甚至可能不會被設(shè)置為過期（永遠(yuǎn)?。┑亲屛覀兗僭O(shè)你在生成自簽名證書時確實指定了一個過期日期。這太好了！但是沒有機制會告訴你它們將在何時過期，就像公共CA或第三方管理系統(tǒng)會做的那樣。（在一個對證書的存在一無所知的新的管理之下，這個有效期可能是10年）。

的確，一對一的加密是相對安全的。但是它的安全程度只會與你管理和監(jiān)控它的能力相當(dāng)。為了維持安全態(tài)勢，你必須能夠檢測到自簽名證書遭受到了攻擊，發(fā)現(xiàn)被暴露的證書并生成新的證書。這可能說起來容易做起來難。因為自簽名證書沒有處于獨立簽發(fā)機構(gòu)的保護之下，所以眾所周知，它們是很難在你的網(wǎng)站中進行定位的。

在《自簽名證書的隱藏成本》這篇很棒的文章中，Teresa Wingfield總結(jié)道，通過只支持軟件的加密，“狀態(tài)的可視性就能夠受到嚴(yán)格的限制。”她還警告稱，“除非將密鑰存儲在了硬件上，企業(yè)是不能保證他知道存在多少密鑰的，以及誰訪問過它們。如果網(wǎng)絡(luò)遭到了攻擊，企業(yè)是無法知道密鑰是否是在非本地復(fù)制的，以及是否正在遭受攻擊?！?/p>

這就向我們揭示了自簽名證書的另一個風(fēng)險。根據(jù)Networkworld的說法：“如果不法分子獲取了你的CA根私有證書，你的部署就將變得無用?！?/p>

IBM知識中心中的一個條目解釋了原因?！皳碛凶院灻麄€人證書的用戶可能能夠使用它來簽發(fā)其他個人證書。而通常情況下，由CA簽發(fā)的個人證書，情況卻不是這樣的，而這代表了一個重大的風(fēng)險敞口。我的一個在Venafi的同事也寫了一篇披露性的博客，主題是網(wǎng)絡(luò)犯罪分子是如何快速將力量轉(zhuǎn)化成漏洞的。”

為了避免這種類型的攻擊，基本上你需要確保你的內(nèi)部CA和公共CA的基礎(chǔ)設(shè)施是安全的。讓我告訴你吧，這些家伙純粹基于信任建立了業(yè)務(wù)。因此他們對安全非常重視。而且，他們有一些最強大的自動系統(tǒng)，可以確保嚴(yán)格遵守旨在避免錯誤使用的政策。

TechRepublic的專家建議到：

“如果你選擇為你的內(nèi)部服務(wù)器使用自簽名證書，你必須確保你的簽發(fā)證書機構(gòu)的服務(wù)器是安全的——非常安全。你不僅需要確保CA服務(wù)器是安全的，不會受到惡意網(wǎng)絡(luò)流量的影響，你還需要確保它存儲在了一個任何人都不能進行訪問的位置。你不會想要任何員工訪問這個CA服務(wù)器，為什么？如果你的CA根證書落到了壞人手中，對這些內(nèi)部LAN才能訪問的服務(wù)來說，事情可能很快急轉(zhuǎn)直下。”

因此，考慮到自簽名證書存在的好處和風(fēng)險，這是我認(rèn)為的底線。除非你擁有需要其來管理和保護自簽名證書的、訓(xùn)練有素的PKI員工，這可能是不值得的。

用Teresa Wingfield的話來說：

“一些企業(yè)試圖通過編寫自定義軟件來自動化SSL安全工作流，但是大多數(shù)企業(yè)都是手動管理流程的。這需要高技能人才和值得信賴的員工花費大量的時間和精力，而這些員工可能意味著是薪水更高的高級雇員。”

無論你是否決定使用自簽名證書，將其作為機器身份保護策略的一部分，你都總是應(yīng)當(dāng)遵循一些最佳實踐。密切關(guān)注加密套件和其他屬性。跟蹤企業(yè)中的所有證書。持續(xù)監(jiān)控所有證書的狀態(tài)和使用情況。自動化完整的證書生命周期，以確保最大的可用性和可靠性。