通常的 HTTPS 设置需要由一些富有的机构签署的证书,并且需要 [每月] 费用和定期维护(以防止过期)。这样,Firefox 就会显示快乐的绿色徽章,表示证书没有问题,并且用户知道他连接到的服务器至少是由一个有钱人管理的,足以买得起证书。
简单的 HTTPS 设置基于自签名证书(或一些小型证书颁发机构的临时“广告优惠”)。连接到此服务器时,Firefox 几乎总是会显示“大警告”,这可能会吓坏用户并降低网站的可用性。因此,解决这个问题的最简单方法就是忽略安全性并恢复为普通的未加密 HTTP。
如何使来自 Firefox 的流量加密(至少防止被动嗅探),但安全级别又不至于太高以至于需要第三方?类似 OpenSSH 的方法。
答案1
StartSSL 提供免费的社区验证证书,您可能会感兴趣。绿色徽章只能通过扩展验证获得,而扩展验证并不免费。
即使使用不受信任的证书,SSL 仍然可以抵御被动嗅探。
如果是供您自己使用,创建自己的 CA 是可以的。有知识的人不会接受将您自制的 CA 包含在他们的浏览器中 - 只要您是中间人,它就会允许您冒充任何 SSL 网站。
答案2
如果您关心的是全球互联网社区不会收到警告,那么您就太倒霉了。您需要从 Firefox 知道的证书颁发机构获得 SSL 证书,否则人们会收到该提示。您可以从 Firefox 已配置为开箱即用的 CA 获得非常便宜的 SSL 证书。
如果您的合作社区规模较小,那么您可以生成自己的 SSL 证书并设置自己的证书颁发机构来验证它们。不过,在这样做时,您必须有一种方法让所有用户将您的证书颁发机构添加为 Firefox 中的受信任 CA,以便它能够验证您的证书并为他们颁发您所追求的绿色徽章。
答案3
我在美国一家高等教育机构工作。如果你在一家合格机构工作(IANAL,所以不要问我),你可以从西班牙证书颁发机构获得有效期为两年的证书,免疫组化。如果您点击该链接,您会发现它以我感觉是故意小字体显示。我们已在我们的机构中将它用于一些公用设施箱,但据我所知,我不确定它是否已投入生产服务。
这并不是说它没有问题。我们不得不为我们小组中的一些人禁用 OCSP 检查,因为浏览器会因为这个证书而出现非常长的超时。我们直到很晚才弄清楚原因,然后超时就不再是一个问题了。错误状态并不清楚这个问题是否会在未来得到解决。但是,嘿,免费就是免费。
编辑:根据这个可爱的错误信息,我无法发布多个链接,因为我太缺乏经验,无法在这个网站上处理自己的问题。在 Mozilla wiki 上查找 Firefox 错误 529286 和 OCSP,看看我在说什么。
答案4
如果你注册星通,您可以获得免费的 SSL 证书,该证书在 Firefox 和 IE 中均有效。它不是经过社区验证的,而是通过证明您拥有该域名(或至少有权访问邮政管理员、网站管理员或主机管理员帐户)来进行验证的。