国旭科技（www.xdns.cn）域名资讯10月27日消息

为了应对冠状病毒在世界各地的传播，许多组织部署了VPN解决方案，包括Fortigate VPN，以允许雇主在家工作。VPN解决方案的配置对于保证组织的安全和避免危险的意外非常重要。

根据网络安全平台提供商SAM Seamless Network统计，超过20万个企业已经部署了具有默认设置的Fortigate VPN解决方案。这种选择允许攻击者提供有效的SSL证书，并对员工的连接执行中间人（MitM）攻击。

“令人惊讶（或者不是？），我们很快发现，在默认配置下，sslvpn没有得到应有的保护，很容易受到MITM攻击。FortigateSSL-VPN客户端只验证CA是由Fortigate（或其他受信任的CA）颁发的，因此攻击者可以轻松地将颁发给不同Fortigate路由器的证书呈现出来，而无需升起任何标志，并实施中间人攻击。我们在几分钟内搜索并找到了20多万家易受攻击的企业。”

专家指出，Fortigate SSL-VPN客户端只验证CA是由Fortigate或另一个可信CA颁发的，这使得攻击者可以出示颁发给不同Fortigate路由器的证书来实施中间人攻击。

主要问题与自签名SSL证书有关

Fortigate路由器附带一个由Fortinet签名的默认SSL证书，这是一个自签名证书，其中包含路由器的序列号作为证书的服务器名称。

什么是自签名SSL证书？

有一些公司或者个人出于成本的考虑，会选择使用自签名SSL证书，即不受信任的任意机构或个人，使用工具自己签发的SSL证书。这绝对是得不偿失的重大决策失误，自签证书普遍存在严重的安全漏洞，极易受到攻击。一旦使用这种随意签发的、不受监督信任的证书，就很容易被黑客伪造用来攻击或者劫持站点流量。

为何自个人签名SSL证书不安全性?

现阶段基本上全部自签证办理书全是1024位密匙，自签根证书也全是1024位。而1024位RSA非对称加密密匙对早已不安全性了。英国国家行业标准技术性研究所(NIST)规定停用不安全性的1024位非对称加密算法，微软公司早已规定将全部1024位根证书从Windows受信赖的根证书授予组织目录中删掉；Googlechrome对自个人签名SSL证书传出安全性警示，进而将会危害网站访问量。

自签名SSL证书容易被假冒和伪造

因为自签名SSL证书是可以随意签发的，如果你的网站使用的是自签名SSL证书，那不法分子完全可以通过伪造一张相同的自签名证书，用于制作假冒钓鱼网站，这使得网站用户无法分辨出真假网站，上当受骗。

而第三方权威机构在签发SSL证书时（如国旭科技），需要对申请企业的真实身份进行验证，不存在随意签发SSL证书的现象，不法分子难以伪造假冒。而部署了受信任的SSL证书的网站，用户在访问网站时浏览器便会识别SSL证书的真实信息和证书状态，如果网站SSL证书配置的域名与实际的域名不符，或者出现证书已过期等其它情况时，浏览器都会提醒用户“此网站安全证书存在问题”进行警告，令假冒网站无处藏身！

专家强调，Fortinet的客户端根本不验证服务器名称，这意味着任何由Fortinet或任何其他可信CA颁发的证书都将被接受。攻击者可以将流量重新路由到其服务器，显示自己的证书，然后在攻击的视频PoC下解密流量。

不幸的是，Fortinet没有解决该漏洞的计划，它建议用户手动替换默认证书，并确保连接不受MitM攻击。

除此之外，自签SSL证书还存在以下风险：

不受浏览器信任，会持续弹出安全警告，影响用户体验。

自签名SSL证书没有可访问的吊销列表。

支持超长有效期，时间越长越容易被破解。

假如是关键的网上银行系统软件、网上商城系统等，最好是应用付钱的公司级OVSSL证书或是增强型EVSSL证书，千万别图划算而应用不安全性的自个人签名ssl证书!