Makecert证书安全吗？

Question

我做了一个应用程序，通过。net SSLStream，在开发过程中，我使用makecert.exe创建了一个自签名的ssl证书。现在我读到了一些微软的文章，这个makecert应该只用于测试。

现在我的问题是:使用此证书的应用程序是安全的，还是我可以制作一个安全的、可比较的证书？

如有任何帮助，将不胜感激。

编辑:将自签名证书硬编码到客户端应用程序中，并在每次建立连接时对其进行比较，因此中间人攻击无法工作，但是makecert证书的随机性如何？。

Answer 1

我建议使用OpenSSL创建用于生产环境的自签名证书。我从来没有想过makecert.exe。老实说:您希望在应用程序和服务器之间使用SSL实现数据的加密传输。

孔证书不会显示给“用户/客户”。现在唯一的原因是在启用SSL的页面上嵌入一个带有“这是一个安全页面”的徽章。

如果您正在寻找这一点，您肯定需要一个由CA签名的证书。如果您正在考虑这一点，我建议使用StartSSL，因为它是最便宜的，并且为您一次验证提供了几乎无限制的通配符证书。它受到微软的信任，您可以为免费的创建一个代码签名-cerficiate。(只收取一次验证费)。

关于证书的随机性和安全性：

如果您正在验证要连接的证书的指纹，则应该减少安全性问题。(也就是说，Fiddler不会这样工作)。

SSL基于RSA算法，所以当生成密钥大小为2048甚至4096 (最大值)的私有/公共密钥区时。(在StartSSL上)不应该存在任何安全问题。如何创建这里证书--如果您不信任RSA，您不应该信任任何人;)

请记住，大多数大学使用使用OpenSSL创建的自签名证书。它现在FIPS认证，并允许您大量的设置，以实现适合您的系统。

Answer 2

如果您找到了一些安全的方法来向使用您的应用程序的每个人获取证书，这是安全的。否则，他们将无法知道他们真的在和你的应用程序交谈。任何其他人都可以像你一样运行makecert，没有人能知道他们是否真的在和你说话。CA颁发的证书将您的身份绑定到证书上，从而允许客户端知道他们确实在与正确的服务对话。

当你在浏览器中输入https://www.amazon.com时，你怎么知道你是在把信用卡信息发送给亚马逊而不是冒牌货？亚马逊有一个由认证机构为www.amazon.com颁发的证书。一个冒名顶替的人不能得到这样的证书--当局不会颁发它。

但如果亚马逊用的是自签证书.好吧，任何人都能做到。那么我怎么知道我真的在和亚马逊说话呢？我必须提前知道，声称属于www.amazon.com的自签名证书是正确的。我不会有CA的认可章来告诉我。

Answer 3

您将密码(作为一个长证书)硬编码到您的应用程序中，并且询问它是否安全？

我所需要的只是一份你的代码的副本，或者你保存它的地方，我可以黑下你写的所有应用程序。此外，您不能更新或更改它。