自签名证书在实时网站上有什么好处吗?
我知道在 IIS 7 中您可以自行签署证书,并且我想知道将其作为从 CA 购买证书的先决条件是否是一个好主意。
您是否获得了与 CA 签名证书相同的加密优势,还是我混淆了术语?(运行 https 协议)
答案1
加密不是证书的属性,也不是证书的签名来源。CA 签名证书的好处是,它会自动受到 Web 浏览器(和其他支持 SSL 的应用程序)的信任。自签名证书会弹出警告,提示证书不受信任。在较新的浏览器(如 FireFox 3)中,默认操作是拒绝显示页面,用户必须采取谨慎的操作才能使用自签名(或过期)证书。
如果您可以与将使用该网页的每个人沟通(例如,如果该网页仅供您的家人使用),那么这不是问题。告诉他们会出现该警告以及如何在浏览器中处理它,这将是一次性问题。
但是,如果这是用于需要接近真正安全性的任何用途,您可能需要一个真正的、签名的而非自签名的证书。
答案2
您可获得相同的加密优势,但查看您网站的每个人都会收到警告,提示您的证书不受信任(或来自不受信任的来源)。获取主流证书之一的优势在于,它们已在浏览器中被视为受信任。
在 IE 7 中,转到“工具”、“Internet 选项”、“内容”、“证书”、“受信任的根证书颁发机构”。这些都是 IE 默认信任的颁发机构。
答案3
信任。自签名证书提供相同的加密。
但我信任 CA。我不信任你。
那么我为什么不应该相信你呢?因为没有人能保证证书上的名字(“Discount Bob's Hanggliding and BBQ Emporium”)是实际创建证书的人。我可以创建一个写着“Discount Bob's Hanggliding and BBQ Emporium”的证书,当你访问 ritter.vg 时,它会显示“Discount Bob's Hanggliding and BBQ Emporium”。
但是当我要求 CA 签署我的证书,上面写着“Discount Bob's Hanggliding and BBQ Emporium”时,他们会问“当然,给我看一些凭证”,而我没有任何凭证,所以他们会让我滚开。但实际的 Discount Bob 会有这些凭证,CA 会签署它。所以当你看到由 CA 签署的证书时,你会知道它实际上是折扣鲍勃,因为如果不是这样,CA 就不会签署它。
签名证书的目的是验证该人确实是他所说的那个人。因为 CA 说他是那个人,所以我信任 CA。
加密与证书并不直接相关 - 加密只是因为有好处并且相辅相成而被添加。
答案4
既然您特意询问了自签名证书的好处,我想“好处”应该是它很便宜(即免费)并且初始设置速度更快。但这些好处显然远远比不上所有网站访问者都必须在其浏览器的安全策略中添加例外才能查看您的网站所带来的负面影响。
如果你还没有听过这些歌曲,你可能会发现一些过去的安全现在播客感兴趣的内容——在多集节目中都对 SSL 进行了详细的讨论。