自签名SSL证书是否安全？

这完全是关于信任。 如果您从verisign获得签名证书，则向随机客户端certificate您的证书是可信的。 如果您自己签署证书，没有在计算机上安装证书的人不能确定他们没有受到中间人攻击 。

如果您的networking服务器仅由您使用，则您不需要真正的CA（例如verisign）来签署您的证书。 只要在你想使用的机器上安装证书，你就可以走了。

编辑：所以要回答你的问题：是的，一切都是encryption的，你可以确定没有人可以阅读你的敏感数据，如果你知道提交给Web浏览器的证书实际上是你已经设置了Web服务器。

这完全是关于信任。

假设你访问了一个提供证书的stream行网站。 这是一个网站说：“这是我是谁，你可以信任我，因为我有你信任的人签署了这封介绍信。”

在这种情况下，“你信任的人”是证书授权人之一，（希望）代表你代表证书颁发者身份的工作。

您真正相信的是浏览器作者对证书颁发机构信任证书颁发者身份的信任。 你和主持人之间往往有不止一个权力，因此，这个术语是：“信任链”。 [1]

当你签署自己的证书时，没有信任链。 您的网站正在将您自己的证书发回给您。 如果您在浏览器中安装自己的证书作为您信任的证书，则将其视为权限，与预先安装的证书相同。 然后您只有一个链接的信任链。

如果您随后访问了您自己的网站，并且浏览器警告您提交的是不可信证书，则应该引起关注，因为与提供不可信证书的任何其他网站一样，您也不能确定你正在与真实的网站沟通。

请注意，我没有提到encryption，但。 证书是关于validation与你通信的一方的身份 。 通过可信任的证书，您可以合理地确信您的商店或银行是真实的。 一旦你确定了自己的身份，保护你之间的沟通是下一步。 恰好证书中还包含了促进这种安全所需的密钥。 假设你已经正确地设置了你的SSL，那么这个通信就像你的商店或银行一样安全，并且你的密码也同样受到保护[2]。

[1]这绝不是一个完美的系统。 一个自由市场和低利润，高产量的企业不可避免地导致成本削减： http : //www.theregister.co.uk/2011/04/11/state_of_ssl_analysis/

[2]至less，有足够的保护，让有人闯入你的房子便宜得多，而不是试图破解你的秘密： http ： //xkcd.com/538/

实际上，自签名证书是安全的，不在我们现在使用的模式下。

在当前所有人使用的广泛的CA（证书颁发机构）模型下，由可信CA签署的证书的目的是提供身份validation。

当我们拿到证书时，我们真正看到的是1和0从墙上的千斤顶进来; 我们不知道1和0是从哪里来的。 但是，由于证书是由CA 签署的 – 除CA之外，世界上没有其他人可以这样做 – 而且由于我们信任CA来validation证书持有者的身份，所以我们相信证书来自于他声称的身份至。

当然，如果CA受到损害或者没有正确地validation所有者 ，所有投注都将被closures。

但是，还有另一种模式，即自签名证书提供真实性。 这被称为公证模式 。

实质上，我们不是信任单个CA，而是将信任分发给任何公证人 。 这些公证人员在互联网上搜寻证书，保存所有他们所见证书的caching。 当你第一次访问一个网站并获得证书时，你会问一些全球分发的公证员他们看到的最后一个证书是什么。 如果他们不同意你所看到的，你可能成为中间人攻击的一部分。

在这种模式下，自签名证书是完全安全的，只要我们假设服务器在任何公证人看到证书之前都没有立即受到威胁。

公证模式还处于起步阶段，它怀疑它会接pipeCA模式（事实上​​，它不一定 – 可以串联使用） 。 到目前为止，最有前途的项目是Convergence.io ，它有一个Firefox插件。

这不是所有关于信任….

SSL证书可以用于两个目的 – 1）您正在连接到您要连接的Web服务器; 和2）encryption通信。

你可以＃2没有＃1这是你已经完成。 剩下的是确认你连接的盒子是你想要的盒子。

如果是我的服务器，那么使用我自己的自签名证书是没有问题的 – 尽pipe有人冒险让我连接到他们的服务器而不是我的服务器。 由于没有人关心我和我的服务器，我在这里没有什么价值，所以我没有看到太多的风险。

另一方面，如果不是我的服务器，它是你的服务器，那么我会担心。