活网站上的自签名证书有任何好处吗?
我知道在IIS 7中,你有能力自签名证书,我想知道如果使用它作为从CA购买一个先驱,是一个好主意。
您是否从CA签名的证书中获得了相同的encryption权益,或者我是否会混淆术语? (运行https协议)
encryption不是证书的属性,也不是签名的地方。 您从CA签名证书中获得的好处是它可以被Web浏览器(以及其他支持SSL的应用程序)自动信任。 自签名证书将popup警告,证书不受信任。 在最近的浏览器(如FireFox 3)中,默认的操作是拒绝显示页面,用户必须采取有意的措施来使用自签名(或过期的)证书。
如果您可以与所有使用该网页的人交谈(例如,如果这仅适用于您的家人),则这不是问题。 告诉他们期待这个警告,以及如何在浏览器中处理这个警告,这是一次性的问题。
但是,如果这是为了任何需要接近实际安全性的用途,那么您可能需要一个真实的,已签名的,而不是自签名证书。
您可以获得相同的encryption优势,但是每个查看您网站的用户都会收到警告,提示您的证书不可信(或来自不可信来源)。 获得主stream证书之一的好处是,他们已经在浏览器中被视为可信任的。
在IE 7中,转到工具,Internet选项,内容,证书,受信任的根证书颁发机构。 这些都是IE默认信任的权限。
相信。 自签名证书提供相同的encryption。
但我相信一个CA. 我不相信你。
那我为什么不相信你呢? 因为不能保证证书上的名字(“Discount Bob's Hanggliding and BBQ Emporium”)是真正创build证书的人。 我可以创build一个证书,说:“打折鲍勃的Hanggliding和烧烤商场”,当你去ritter.vg它会说“折扣鲍勃的Hanggliding和烧烤商场”。
但是当我要求一个CA来签署我的证书,上面写着“打折Bob's Hanggliding and BBQ Emporium”的时候,他们会问:“当然,给我看一些证件”,我没有,所以他们会告诉我脱口而出。 但实际的折扣鲍勃将有这些凭据,CA将签署。 所以当你看到由CA签名的证书时,你就会知道它实际上是 Discount Bob,因为如果它不是CA,就不会签名。
签名证书的目的是validation该人是否是他所说的他。 因为CA说他是,我相信CA.
encryption与证书没有直接的关系 – 只是因为它的好处而携带,所以才join。
优点自签名证书:
缺点:
快速场景:如果有人在网吧设置stream氓WiFi接入点,则可以透明地代理受害用户的活动,并在networking嗅探器中观看。 通常情况下,SSL是encryption的,数据是不可用的。 但是,存在用于代理用户的HTTPS请求并检查受害者传输内容的工具。 这有一个副作用,即为受影响的用户提供一个不可信的不可信的证书。
如果您login到您的银行网站并收到SSL安全警告,请勿继续。 你可能是一个目标。
有人可能会认为这是Hak5菠萝 。
既然你问了一个自签名证书的好处,我想这个“好处”是便宜的(即免费的),而且最初的设置更快。 这显然远远超过了所有网站访问者的负面影响,因为他们不得不为浏览器的安全策略添加例外,以便他们查看您的网站。
如果你还没有听过他们的话,你可能会发现一些过去的安全现在播客 – SSL在很多剧集中都有详细的讨论。
encryption与authentication混淆。
任何证书都将提供encryption。
一个CA证书也certificateCA是保证你是你自己说的。
自签名证书提供encryption,但不提供validation。
主要好处是你不需要访问第三方来处理你的网站的安全。 你可以自己做。 这个问题是正确的,这很复杂。
他们的浏览器需要“信任”自签名证书。 如果将来更改证书,则应出现相同的对话框。 有些答案解释了如何做到这一点。 这仍然是不好的 ,因为用户在接受自签名证书训练时会更容易受到攻击,例如中间人攻击。 我已经看到这是标准程序的公司! 这些用户太糟糕了!
理想情况下,您将有一个过程来尝试击中您的网站之前,在他们的盒子上安装一个自定义的根证书。 这个根证书然后发出您的网站的证书。 这样,他们的浏览器会在第一次连接到您的网站之前相信您的自签名证书,而不会显示信任错误。