用戶在我的網站上得到「網站不安全」

Question

我有一個在IIS Windows服務器上運行的portofolio網站，如果有問題的話。但有些人抱怨說，他們在瀏覽網站時得到「網站不安全」。我個人沒有得到該錯誤，我嘗試了其他網站上的網站，他們也沒有得到它。

可能與SSL證書有關嗎？我沒有買一個，但我有一個自己簽署的證書，根據ssl checker 。我需要購買一個可信的SSL證書嗎？還是有另一個問題？

在我的網站，我有一個「聯繫我們」頁面，網頁表單，用戶應該有姓名，電子郵件填寫...

編輯：我不知道它是否可以在這裏發佈的網站鏈接，如果需要的話讓我知道。

編輯：鏈接到網站here。

Answer 1

這是自簽名證書的常見問題，因爲您的網站訪問者或其瀏覽器無法驗證您的服務器的身份。原因是沒有對其進行簽名的證書頒發機構，因此瀏覽器沒有位於鏈接到證書的信任鏈中的（根）證書。

這個問題自簽名證書在此post

的風險是客戶端是很好的解釋。 SSL服務器證書的重點在於客戶端使用它來了解服務器公鑰，並保證某些密鑰確實屬於目標服務器。擔保來自CA：CA應該在頒發證書之前對請求者身份進行廣泛的驗證。

當客戶端（用戶及其Web瀏覽器）「接受」未由客戶端信任的CA之一頒發的證書（由Microsoft嵌入Windows的CA）時，風險爲客戶正在與假服務器通話，即正在受到攻擊。請注意，無論CA證書是否由主流CA頒發，被動攻擊（攻擊者觀察數據但不以任何方式改變數據）都受到SSL阻礙。

一般而言，您不希望訓練用戶忽略來自瀏覽器的可怕安全警告，因爲這會使他們容易受到此類服務器模擬攻擊（這不容易掛載，例如使用DNS中毒）。另一方面，如果您可以通過其他方式確認證書是真實的，那麼只要使用相同的自簽名證書，瀏覽器就會記住證書並且不會顯示後續訪問的警告。新提出的融合PKI是這一原則的延伸。請注意，只要證書未更改，此「記住證書」即可保留，所以您確實希望在遠期設置自簽名證書的到期日（但如果您想避免互操作性問題，則不會超過2038年）。

需要注意的是，由於自簽名證書不是由CA「管理」的，因此不存在可能的撤銷。如果攻擊者竊取您的私鑰，則永久丟失，而由CA頒發的證書仍然具有理論上的撤銷安全網絡（CA用於聲明給定證書已爛的方式）。實際上，當前的Web瀏覽器無論如何都不檢查撤銷狀態。