通常的HTTPS设置需要由一些丰富的权威机构签署的证书,并要求[月费]和定期维护(以防止到期)。 通过这种方式,Firefox会显示绿色徽章,表示证书正常,并且用户知道他至less连接到服务器,而服务器至less由一个足够强大的证书负责人pipe理。
简单的HTTPS设置基于自签名证书(或者一些次要证书颁发机构的临时“广告提供”)。 在连接到这个服务器的时候,Firefox几乎总是显示“大胖子警告”,可以吓倒用户,降低网站的可用性。 所以解决这个问题最简单的方法就是忽略安全性,还原为未encryption的HTTP。
如何使来自Firefox的stream量encryption(至less来自被动嗅探),但不是那么高的安全水平,需要第三方? 就像在OpenSSH中。
StartSSL提供免费的社区validation证书,这可能是你感兴趣的。 绿色徽章只能通过扩展validation获得,而这不是免费的。
即使使用不受信任的证书,SSL仍然可以防止被动嗅探。
如果是为了自己的用途,创build自己的CA是好的。 有知识的人不会接受将自制CA包含在他们的浏览器中 – 只要你是中间人,就可以让他们模仿任何SSL网站。
如果您对全球互联网社区没有得到警告感兴趣,那么您几乎不走运。 您需要从Firefoxauthentication的证书颁发机构获得SSL证书,否则将获得该提示。 您可以从CA那里获得非常便宜的SSL证书,Firefox已经configuration为信任开箱即用。
如果您有一个较小的社区,那么您可以生成自己的SSL证书,并设置自己的证书颁发机构来validation它们。 然而,在这样做的时候,你必须让所有的用户都有一个方法来把你的证书颁发机构作为一个可信任的CAjoin到Firefox中,这样它就能validation你的证书并给他们一个你所追求的快乐的绿色证书。
我在美国的一所高等教育机构工作。 如果你为一家合格的机构工作(IANAL,所以不要问我),你可以从一个西class牙authentication机构ipsCA获得有效的两年期的证书。 如果你遵循这个链接,你可以看到它是在我觉得是故意小打印。 我们已经在我们的机构使用了它的一些实用工具箱,但我不确定它是否进入生产服务AFAIK。
这并不是说它没有公平的问题。 我们必须禁止OCSP检查我们组中的某些人,因为浏览器将会承受这个证书的超长时间。 我们不知道为什么,直到很晚,然后超时停止是一个问题。 错误状态并没有说明这个问题是否会在未来得到解决。 但是,嘿,免费是免费的。
编辑 :我不能张贴多个链接,因为我太缺乏经验来处理我自己在这个网站上,根据可爱的错误消息。 查看Mozilla wiki上的Firefox bug 529286和OCSP,看看我在说什么。
如果您使用StartCom注册 ,则可以获得免费的SSL证书,该证书在Firefox和IE中均被视为有效。 这不是社区validation,但通过certificate您拥有该域名(或至less有权访问postmaster,webmaster或hostmaster帐户)进行validation。