我有一个域名,我想有networking邮件,我希望它是安全的。 我是唯一使用这个网站的人,但我仍然希望它是安全的。
我买不起,我不认为付CA来签署我的证书是有道理的。
我现在有自己的签名证书SSL工作,但我想知道是否足够。
如果有人使用与我的证书相同的信息生成一个自签名的证书,有什么办法可以告诉我吗?记住序列号或什么的?
如果您创build自己的证书,从您自己的证书颁发机构生成,您可以configuration您select的浏览器来信任该CA. 这样它将信任您从该CA创build的证书。 随机的人创build一个与您的信息相同的证书应导致您的浏览器抛出SSLvalidation失败错误,因为该证书不会由您信任的CA签名。
如果您是唯一使用域的人,那么自签名证书就足够了。 创build您自己的证书意味着生成您自己的CA私钥。 只要你能保证这个私钥的安全,你就不必担心伪造证书的人。 如果没有这个私钥,任何人都不可能使用相同的公钥来生成一个证书,并且通过比较公钥就可以得知。
您可以将CA公钥文件保存在记忆棒上,并将其导入到您正在使用的任何浏览器中。
该文件也可以在networking上的一个地址,你可以很容易地记住。
joinCACert( http://www.cacert.org/ )可能是值得你花时间的,所以你只有一个CA担心多种用途。
通过成为您自己的证书颁发机构,您可以通过创build签名来为证书提供真实性。 这是通过使用私钥签名的签名完成的。 然后用公钥来validation签名确实是由私钥签名的。
由于只有CA(您)知道私钥,因此您相信CAvalidation了证书并且它是通过身份validation的。 要信任CA,您需要将CA的证书(包含公钥)安装到信任环中,通常在Windows中,双击证书文件并validation您是否信任它。 在Firefox中,通过将其添加到选项的“证书”区域中来完成。
上述的关键是确保信任环中没有其他CA可能签名。 这就是CA在签署该域的证书之前validation域的所有者的原因。
如果你想了解更多关于密码学的细节,包括公共/私人的:
http://www.pgpi.org/doc/pgpintro/
关于这个主题的一本惊人的书是应用密码学。 一个更简单的书是Cryptography Decrypted。