我是 SSL 证书的新手。我看过一些关于创建个人证书的教程,但我没有读得很深。
看来我可以创建个人 SSL 证书并在我的网站上使用它,但问题是:
它能出色地完成其工作吗?
我与客户的连接会被加密吗?
我可以自行创建个人 SSL 扩展验证证书吗?还是需要证书颁发机构?
我的观点是,我不需要保险;我只想为我的客户增加另一层保护和安全。他们实际上不会在我的网站上购买,而是从 paypal 购买,但 SSL 证书会增加他们对我的网站的信任。我不在乎是否有公司承担责任并出现在我的证书信息上。
答案1
您可以自由生成自己的 SSL 证书。但请注意,您的用户将收到一条可怕的警告消息,提示无法验证证书。这会让很多用户感到困扰。有些人可能会离开,或者拨打您的支持热线,这两种方式都可能让您花钱。
SSL 证书有两个用途:
- 启用加密
- 验证您认为正在与之交谈的人实际上就是那个人。
自签名证书只能实现第一个目的,除非您有办法让人们验证证书,例如亲自向他们提供公共证书的副本,以便他们可以将其添加到他们信任的证书存储中。
验证部分确保,例如,我没有生成带有你网站名称的证书,然后劫持客户的 DNS 或网络连接,并将他们引导至我的服务器。理论上,Verisign/Godaddy/Whoever 不会提供我证书你的网站。
对于内部站点或小型站点,您可以轻松让用户安装证书,自签名证书可以正常工作。对于面向公众的站点,这几乎是不可接受的。即使它启用了加密,也无法证明您就是您所说的那个人。而且它会抛出一个可怕的错误消息。仅凭这一点就足以让您花几美元购买有效的可信证书。
至于扩展验证证书 - 没有办法自己制作。浏览器有一个非常具体的列表,其中列出了哪些根证书允许进行扩展验证,并且通常不是用户可配置的。除非重新编程、编译和分发您自己的 chrome 或 firefox 副本,否则它不会是一个免费的选择。
答案2
但 SSL 证书会增加他们对网站的信任。我不在乎是否有公司承担责任并出现在我的证书信息上。
这实际上在企业中相当常见(不幸的是),这些企业在内部为员工部署启用 SSL 的站点(想到了 SSL VPN)或在外部(外联网)部署启用 SSL 的站点。
使用自签名证书,您要说的是:
“如果你相信我进来!”
...大多数浏览器都会警告用户验证信任。有些浏览器会选择永久信任该网站和证书(这在公司内部应用程序/网站中也很常见)。
使用第三方可信证书,你所说的本质上是:
“如果你相信插入第三方证书提供商进来!”
默认情况下,浏览器/操作系统会有一个受信任的证书提供商列表(会不时更新)。此列表允许浏览器(以及用户)相信证书是其声称的,并且是向其声称的颁发者/颁发给其声称的人。您可以将其视为公证人。第三方只是说“是的,我根据当时信息的有效性向他们颁发了证书”。
因此,是否选择部署自签名证书实际上取决于您和您的情况/需求。您需要决定您的客户/用户是否会关心或需要有效的第三方证书可以提供的“保证”。
答案3
如果你想要一个免费的 SSL 证书,我发现最好的地方是启动SSL。它不像其他地方那样用户友好,但基本 SSL 证书是免费的,其他证书只需支付一次性的低价费用,所以还是值得的。至于扩展验证,所有提供扩展验证的公司都需要提供企业合法和实际存在的证明。