在工作中,我有一堆使用普通http或自签名证书(负载平衡器pipe理接口,内部wiki,cacti,…)的Web界面。
没有可从特定的vlans /networking到达。
对于家庭使用,我使用cacert SSL证书。
我想知道是否应该build议我的雇主使用cacert SSL证书而不是自签名证书和普通的http。 任何人在生产中使用cacert ssl? 什么是亲/缺点? 它提高了安全性吗? pipe理更容易吗? 什么意外? 它可以影响扫描吗? 我怎样才能说服他们?
当然,公共网站的支付证书将保持不变。
编辑:
(只是好奇)从公司免费ssl证书似乎不是第3类。我必须显示我的护照,并在身体礼物从cacerts 3级。 浏览器中是不是每个class 1都有警告?
无论如何,我会有任何免费的CA相同的问题:是否比使用自签名和普通的http更好, 为什么 ?
我会为了便于pipe理而做到这一点,服务器端。 我错过了什么?
免责声明 :我不是一个cacert协会成员 ,甚至没有Assurer,只是一个普通的快乐的用户。
我会build议,虽然使用免费的证书没有什么问题,比如CACert,但是你也可能不会从中获益。
由于它们不是默认信任的任何东西,所以您仍然需要将根证书安装/部署到所有客户端,这与您使用内部CA颁发的自签名证书或证书的情况是一样的。
我更喜欢(和使用)的解决scheme是内部证书颁发机构,并将其根证书批量部署到所有域计算机。 控制您使用的证书颁发机构使证书pipe理比通过门户网站更容易。 通过您自己的CA,您通常可以编写证书请求和相应的证书问题,以便您的所有服务器,站点和需要证书的任何内容都可以在投入环境后自动获得,并且几乎立即被客户信任IT没有任何努力或手动任务。
当然,如果你没有完成自己的CA设置和自动化的任务,那么使用一个像你所提到的那样的外部自由软件可以让你的生活变得更简单,只需要部署一个外部的根证书……但是你应该尝试第一次正确的做,并为你的域名build立一个内部的CA.
我会build议由StartSSL提供免费的SSL证书,这些证书也被现代浏览器所认可。 我没有任何反对CACert的,只是它不需要任何东西,除了一个帐户颁发证书,这些证书不被任何人认可,除非你手动安装根证书。
强制免责声明,因为这是一个产品推荐:我不以任何方式隶属于StartSSL。 只是一个快乐的客户。
是否比使用自签名和普通的http更好,为什么?
自签名证书将训练您的用户(和您)习惯性地点击警告,这是一个坏习惯。 如果将自签名证书replace为stream氓证书会怎么样? 你的用户会注意到,还是会盲目点击另一个安全对话框?