使用自签名证书比免费ssl证书安全吗？

Question

我有一个个人网站/电子邮件服务器，基本上是为了我自己的自学使用。我使用CACert (http://www.cacert.org/)作为我的SSL证书，如教程中所建议的那样。我对保安毫无头绪，所以请原谅这个简单的问题。

好的，那么我的问题是，在没有第三方(CACert)参与的情况下直接使用我自己生成的证书会更安全吗？第三方是否会成为一个薄弱环节，或者被用来妥协，实施MITM攻击？

我不介意浏览器抱怨证书不可信，特别是因为99.9%的互联网也不信任CACert。

Answer 1

SSL证书提供了两种功能：

1. 访问者所连接的组织的身份验证(组织被验证为www.foobar.com)
2. 通信的机密性(使用证书中的公钥加密数据)

关于第2点，使用自签名证书、从免费CA (如CACert )或付费CA颁发的证书没有什么区别，因为加密的强度取决于您生成的密钥对的特性(默认的2048位或4096位的RSA很好)。

因此，我们感兴趣的是第1点，因为验证和认证远程网站身份的是CA。这一切都归结为CA如何验证这些网站。在这方面，使用浏览器不信任的外部免费CA与使用自签名证书没有太大区别。因此，在本例中，我将使用一个自签名证书，因为您可以自己生成它，而无需麻烦(只需确保您正在正确地执行此操作！)

你可以安全地使用一个自我签名证书，如果你的网站是内部使用，说你的朋友，或一组人。(据我从你的问题中了解到的，这是你的情况。)然而，如果你的网站是面向公众的，你想要以适当和专业的方式做事情，你应该从一个认可的CA购买一个SSL证书。

Answer 2

不，这更不安全。如果您不了解安全性或证书，则不应使用自己的证书。(幸运的是，这并不像在不知情的情况下运行自己的CA那样糟糕)

CACert帮助您在证书中获得正确的值，这样您的安全就不会被滥用。这个信任的网络也意味着CAcert将与一张脸2的脸审核，一个商业的CA一样。(假设您进行了更好的验证，以便获得一年的证书)