场景1:如果您在内部网站上使用自签名证书,则仍在使用加密。(据我所知(最大的安全问题是,你的浏览器不会将证书识别为可信证书,当你告诉浏览器信任它时,大多数人不会验证你信任的证书实际上是网络服务器上的证书,而不是用自己的证书替换你的证书的中间人。因此,这里的安全问题是显而易见的。
场景2:使用来自实际的、全局信任的CA的有效X509证书,当证书过期时,如果您选择绕过浏览器的警告并使用网站登录,安全问题是什么?您仍在使用加密。私钥在web服务器上仍然是安全的。如果中间人系统试图替换证书,你可能会收到一个关于证书无效的浏览器警告,而不是关于证书过期的警告。
PS。有一整篇关于SSL证书过期的危险的文章,但它只提到了只适用于公共网站(而不是内部网站(的业务缺点(而不是技术缺点(,并提到了一个通用的声明,如";处于中间人攻击风险中的个人信息";他们对为什么会这样认为没有任何解释。我不确定他们是否知道。我觉得互联网上的大多数网站都是针对这样一个复杂的话题这样做的——他们说了一个他们认为是真的一般性陈述,但不知道为什么。
证书有一个有效期来简化证书吊销。一旦证书过期,它就被视为无效,这意味着CA不需要保留该证书的吊销信息,也不需要根据客户端的请求提供该信息(即使用CRL、OCSP等进行吊销检查(
因此,如果过期的证书被泄露(攻击者知道私钥(,证书所有者就不能撤销它,因为它已经无效了。这意味着中间的人可以用原始证书和被盗私钥模拟原始服务器,而客户端无法通过检查吊销来检测这一点。