自签名的SSL证书或CA？

SSL证书解决了两个目的：encryptionstream量（至less用于RSA密钥交换）和信任validation。 如您所知，您可以使用（或者不使用SSL 3.0或TLS）encryption任何自签名证书。 但是，信任是通过一系列的证书来实现的。 我不认识你，但是我确实相信verisign（或者至less微软是这样做的，因为他们已经付出了很多钱来默认安装在他们的操作系统中），而且由于Verisign相信你，所以我相信你太。 因此，当我在我的Web浏览器中访问这样一个SSL页面时，没有什么可怕的警告，因为我相信有人说你是你。

一般来说，证书越贵，发证机构的调查就越多。 因此，对于扩展validation证书，请求者必须提交更多的文档来certificate他们是他们自己说的那个人，并且作为回报，他们会在现代Web浏览器中获得一个明亮，快乐的绿色栏（我认为Safari并没有做任何它还相当）。

最后，一些公司像Verisign这样的大公司纯粹是单单为了品牌名称。 他们知道他们的客户至less听说过Verisign，所以对于在网上商店购物的人来说，他们的印章看起来不像GoDaddy那样的素描球。

如果品牌对您不重要，或者您的网站不容易受到networking钓鱼攻击，那么您可以购买的最便宜的SSL证书，在大多数Web浏览器中，默认情况下都会安装其根。 通常，唯一的validation是您必须能够回复发送给DNSpipe理联系人的电子邮件，从而“certificate”您拥有“该域名”。

您可以在非GoDaddy服务器上使用廉价证书，但是您可能必须先在服务器上安装中间证书。 这是一个位于你的便宜$ 30证书和GoDaddy“真实交易”根证书之间的证书。 访问您的网站的网页浏览器将会像“嗯，看起来这是用中间人签名的，你知道吗？” 这需要 可能需要额外的旅行。 但是，它会从服务器请求中间件，看到它链接到它所知道的受信任的根证书，并且没有问题。

但是，如果您不允许在服务器上安装中间件（例如在共享主机scheme中），那么您运气不好。 这就是为什么大多数人都说GoDaddy证书不能在非GoDaddy服务器上使用。 不正确，但对于许多情况来说已经足够了。

（在工作中，我们为我们的在线商店使用Comodo证书，并使用便宜的$ 30 GoDaddy证书来保护到数据库的内部连接。）

以斜体编辑，以反映埃里克森以下的深刻见解。 每天学些新东西！

有一种常见的误解，认为自签名证书本质上比商业CA（如GoDaddy和Verisign）出售的证书不安全，如果您使用它们，您必须忍受浏览器警告/exception; 这是不正确的 。

如果您安全地分发自签名证书（或CA证书，如bobincebuild议）并将其安装在将使用您的网站的浏览器中，则它与购买的安全性一样安全，并且不容易受到中间人攻击和证书伪造。 显然，这意味着只有less数人需要安全访问您的网站（例如，内部应用程序，个人博客等）才可行。

为了提高认识并鼓励像我这样的小博客保护自己，我写了一个入门级的教程，解释证书背后的概念，以及如何安全地创build和使用自己的自签名证书（完整代码示例和截图）： http : //www.clintharris.net/2009/self-signed-certificates/ 。 欢迎反馈！

我还没有尝试过，但在回答类似的问题时提到了StartCom 。 显然，你可以免费获得一年的证书，并被火狐3接受。

即使你必须付钱，我也会build议使用CA而不是自签名证书。 有些人不会看到你的解释，一个假的网站可以像你提出的那样，张贴自己的假证书的指纹。 我怀疑普通用户是否知道证书指纹是什么或者如何检查它。

而不是创build一个自签名的证书，创build一个自签名的CA，并签署您的HTTPS证书。 要求用户安装CA比单个服务器证书更容易，并且您可以创build新的证书（例如，用于子域或更新过期的证书），而无需用户再次安装服务器证书。

之后，您可以决定是否值得$ 30从由您自己的CA签名的证书切换到由GoDaddy或任何人签署的相同证书。

无论哪种方式，没有一个表单发布到HTTPS的HTTP页面。 用户不能看到它正在发生的地方; 他们不得不查看源代码来检查表单是否被劫持指向其他地方，没有人会这样做。 您必须拥有带CA链接的HTTP首页和单独的HTTPSlogin表单链接。

要求用户通过普通的HTTP下载证书来安装CA是有点调皮的：如果有一个中间人，他们可以立即replace您的CA，并劫持随后的HTTPS连接。 实际发生的机会相当低，因为它必须是有针对性的攻击，而不是普通的旧式自动嗅探，但实际上，您应该在其他受HTTPS保护的服务上托pipeCA下载链接。

客户的接受度是一个只有你能回答的问题，知道你的用户是谁。 当然Firefox的界面过于恐怖。 如果像GoDaddy这样的CA下降到30美元这些天我可能会去为它; 它曾经是很多，很糟糕。

假设支持旧的和利基浏览器是没有太大的问题，只要去最便宜的CA可用。 你应该付钱让核证机关正确地核实你的身份，但实际上这不是它的工作方式，而且从来没有这样做过，所以为了更彻底的检查而付出额外的代价几乎一无所有。 Verisign的勒索价格只能通过公司的惯性而生存。

因为拥有几百位私人密钥，有些地方可以收钱。 原本属于CA授权的身份validation内容已经被转移到EV证书上。 哪一个更是一个扯皮。 喜悦。

我只是终于崩溃了，昨天晚上把我的服务器从自签名转到了GoDaddy证书，除了他们的stream程没有那么清晰外，没有什么大不了的。 30美元/年是一个合理的成本，并且在非GoDaddy服务器上使用证书不是问题。

如果你要和公众谈论SSL，可以得到真正的CA签署的真正的证书。 即使你在为最低工资工作，在处理用户的恐惧或不信任时，也会节省超过30美元/年的浪费时间，甚至在考虑到任何可能由于他们被吓跑离开你的网站而造成的收入损失之前。

自签名证书是不安全的 。 对真的。 “至less它是encryption的”根本没有帮助。 从文章：

世界级encryption*零authentication=零安全

如果你的网站是为你和几个你的朋友，那么你可以创build自己的CA，并分发你的证书给朋友。

否则，要么从已知的CA获得证书，要么根本不打算使用自签名的证书，因为你所得到的只是一种虚假的安全感。

为什么只是encryptionstream量不安全？ 你总是允许另一端解密你的stream量（你必须，否则你会发送乱码）。

如果你不检查谁是另一端，你允许任何人解密你的stream量。 如果您安全或不安全地向攻击者发送数据，攻击者无论如何都会获取数据。

我不是在谈论检查，如paypal.com是否属于一个值得信赖的金融机构（这是一个更大的问题）。

我在谈论检查你是否发送数据到paypal.com，或者只是发送证书的angular落里的面包车说： “是的，我完全是paypal.com，你有我的话，这是真的！ “

要回答您有关Internet Explorer的问题，它将警告用户有关任何证书未由IE已知（不幸称为“可信”）CA签名的站点。 这包括您自己的CA和自签名证书。 如果证书中的域不是被访问的域，它也会发出警告。

如果这是一个私人站点，只要您获得链接级别的encryption（您是否害怕有人嗅探您的stream量？），您可能不在意。 如果有公共访问权限，并且您想要SSL，则可以像其他人已经build议的那样从认可的CA获得签名证书。

如果那边的面包车已经能够劫持你的互联网连接了，那你的问题比自签证书还要严重。

银行应该使用客户端证书进行authentication。 这将使这辆面包车无法做任何事情……因为它没有银行的私钥。

自签名证书是完全正确的…假设您的互联网连接没有受到影响。 如果你的连接已经被破坏了，那么你可能会被困住。

GoDaddy通过这个网站上的立即购买链接每年15美元的SSL证书。 不要使用优惠券代码，因为那么价格会回到每年30美元，并从那里折扣。

http://www.sslshopper.com/ssl-certificate-comparison.html?ids=17,25,34,37,62