一旦您接受了自簽名證書，中間人是否安全

我有一個具有自簽名 SSL 證書的郵件伺服器。

我使用 Thunderbird 訪問這個伺服器，它要求我接受這個證書。

所以可以說我在半安全的位置接受這個，例如在本地網路上。然後繼續使用我在 Thunderbird 電子郵件客戶端中接受的證書的不安全網路。

Thunderbird 設置為對電子郵件伺服器使用 STARTTLS。

是不是這樣，一旦這個證書被接受，就不可能做中間人攻擊了。對於使用此公共自簽名 SSL 證書的人來說，他們還需要郵件伺服器保留的私鑰嗎？

危險信號是如果 Thunderbird 有一天突然要我接受來自郵件伺服器的新證書。

如果您控制域，您應該強烈考慮獲得免費的 SSL 證書。有幾個提供免費證書。

Thunderbird 中的“接受”證書將您引用伺服器的主機名與證書的指紋配對。因此，如果不解決 DL 問題，MITM 攻擊幾乎是不可能的。這假設您選擇了一個合理的位長（現在是 2048 或 4096；儘管可以為 1024 提出參數）。

PKI 密鑰只有在您同時擁有私鑰和公鑰時才有用。是的，關於證書錯誤的新警告應始終以最敏銳的洞察力進行審查。

引用自：https://serverfault.com/questions/352758