Security

使用我自己創建的個人 SSL 證書?

  • February 4, 2014

我是 SSL 證書的新手。我看過一些關於創建個人證書的教程,但我並沒有深入閱讀。

看來我可以創建個人 SSL 證書並在我的網站上使用它,但問題是:

它會很好地完成它的工作嗎?

與我的客戶的連接會被加密嗎?

是否可以自己創建個人 SSL 擴展驗證證書,還是需要證書頒發機構?

我的觀點是我不需要保險。我只想為我的客戶增加另一層保護和安全。他們實際上不會在我的網站上購買,而是從貝寶購買,但 SSL 證書會增加他們對我網站的信任。我不在乎某些公司是否會承擔責任並出現在我的證書資訊中。

您可以自由生成自己的 SSL 證書。請注意,您的使用者將收到一條可怕的警告消息,說明證書無法驗證。這會給很多使用者帶來困擾。有些人可能會離開,或致電您的支持熱線,這兩者都會讓您花錢。

SSL 證書有兩個用途:

  1. 啟用加密
  2. 驗證您認為與您交談的人實際上是那個人。

自簽名證書只能實現第一個目的,除非您有辦法讓人們驗證證書,例如親自給他們一份公共部分的副本,以便他們可以將其添加到他們的受信任證書儲存中。

驗證部分確保,例如,沒有使用您的網站名稱生成證書,然後劫持您客戶的 DNS 或網路連接,並將它們定向到我的伺服器。理論上,威瑞信/Godaddy/Whoever 不會給我****您網站的證書。

對於內部站點或可以輕鬆讓使用者安裝證書的小型站點,自簽名站點可以正常工作。對於一個面向公眾的網站,這幾乎是不可接受的。即使它啟用了加密,它也不能證明你就是你所說的那個人。它會拋出一個 BIG SCARY 錯誤消息。僅此一項就足以支付幾塊錢購買一個有效的可信證書。

至於擴展驗證證書 - 沒有辦法自己製作。瀏覽器有一個非常具體的列表,其中允許哪些根證書具有擴展驗證,並且通常不是使用者可配置的。除了重新程式、編譯和分發您自己的 chrome 或 firefox 副本之外,它不會是一個免費的選擇。

引用自:https://serverfault.com/questions/533909