关于自签名SSL

Question

所以我刚找到了一个关于创建一个自签名证书的教程。所以很自然，我跟着它创造了一个。然后，为了通过HTTPS访问我的服务器，我转到浏览器上，、Google、上出现了黄色警告，表示证书无效，和证书不可信。

为了让每台机器(不仅仅是开发)接受我的SSL证书(绿色)，我是否有从VeriSign或类似的地方购买证书，或者有什么方法可以检查我的或类似的，以避免花钱在它上？

编辑:顺便说一下，我不太确定我是否需要SSL加密，我不做电子商务，只是一个我不想成为纯文本的帖子登录表单(感谢wireshark)

Answer 1

是的，你当然知道。如果你没有一个有效的CA来确认你在现实世界中的身份，为什么会有人信任你呢？Joe可以向letmestealyourssn.com颁发一个自我签名的证书，并声称该网站是完全安全和合法的，因为他说它是合法的。所以不，网络不会接受你的承诺，也不会安装你的证书。

但是如果你想要一个真正的SSL证书而不需要花钱的话，就会有StartSSL，而且如果你最终愿意花一些钱，在你对你的站点进行微调之后，就会有一个科莫多，它提供了90天的试用。两者都将要求您在现实世界中以某种方式标识自己，但您将获得一个真正的SSL证书，浏览器将显示您希望它们显示的绿色条。

警告：CA有时确实会遭到黑客攻击，它们的证书可能会被列入黑名单，因此，如果您希望人们信任您的站点，请注意不要简单地获取最便宜的SSL。如果发生这种情况，就会有缓解过程，但是CA越小、经验越少或投资越少，它们的实现速度就越慢。StartSSL，2011年被黑了，但黑客无法发放假证书，所以他们仍然可以用于一般用途。然而，对于真正的电子商务，我强烈建议VeriSign。你会赚回那笔钱，减少头痛。

Answer 2

它无效，因为用户必须安装对证书签名的根证书(CA的根证书)。您可以让用户安装您的根证书，但这就违背了“我信任您”这一问题的全部意义。

当证书很容易生成时，公司就会出售它们的原因，因为大多数机器都附带已经安装的大名鼎鼎的根证书。然后，他们必须保持该根的完整性；加上一笔费用，他们将更进一步，甚至核实谁在购买证书。