用户在我的网站上得到“网站不安全”

Question

我有一个portofolio网站运行在IIS服务器上，如果matters.But有人抱怨他们在浏览网站时“网站不安全”，我个人没有发现这个错误，我在其他divece上尝试了这个网站，他们也没有得到。

是否与SSL证书有关？我没有买，但我有一个自签署的证书，根据ssl检查器 .Do，我需要购买一个可信的SSL证书？还是还有别的问题？

在我的网站上，我有一个“联系我们”的网页，用户应该填写姓名，电子邮件.

编辑:我不知道是否可以在这里张贴网站链接，如果需要，请告诉我。

编辑:链接到网站这里。

Answer 1

这是自签名证书的一个普遍问题，因为您网站的访问者或他们的浏览器无法验证您服务器的身份。原因是，没有证书颁发机构对其进行签名，因此浏览器没有连接到证书的信任链中的(根)证书。

自签名证书的这个问题在这个帖子中很好地解释了。

风险是针对客户的。SSL服务器证书的要点是客户端使用它来了解服务器公钥，并在一定程度上保证密钥确实属于预期服务器。保证来自CA: CA应该在颁发证书之前对请求者身份执行广泛的验证。 当客户端(用户和他的Web浏览器)“接受”客户端信任的CA (Microsoft嵌入Windows中的CA )尚未颁发的证书时，风险是客户端当前正在与假冒服务器对话，即受到攻击。请注意，无论CA证书是否由主流CA颁发，SSL都会阻止被动攻击(攻击者观察数据，但不会以任何方式更改数据)。 一般来说，您不希望培训用户忽略浏览器发出的可怕的安全警告，因为这使他们容易受到这种服务器模拟攻击(这些攻击并不难安装，例如DNS中毒)。另一方面，如果您可以通过其他方式确认证书是真实的，那么浏览器就会记住证书，并且只要使用相同的自签名证书，就不会显示后续访问的警告。新提出的会聚PKI就是这一原则的延伸。请注意，只要证书保持不变，此“记住的证书”仍然有效，因此您确实希望在很长一段时间内设置自签名证书的过期日期(但如果您希望避免互操作性问题，则不要超过2038年)。 应该注意的是，由于自签名证书不是由CA“管理”的，因此不可能撤销。如果攻击者窃取了您的私钥，您将永久丢失，而CA颁发的证书仍然具有理论上的撤销安全网(CA声明给定证书已腐烂的一种方式)。在实践中，当前的Web浏览器无论如何都不检查吊销状态。