为什么浏览器不信任自签名SSL证书？

Question

我也见过类似的问题和答案，但没有人真正有效地回答我的问题。

SSL解决了两个问题:加密和信任。

该是真相表的时候了：

                        | Encrypted | Trusted |
------------------------|-----------|---------|
No certificate          | No        | No      |
Self-signed certificate | Yes       | No      |
CA verified certificate | Yes       | Yes     |

基于这个表，为什么浏览器会给我一个巨大的红色警告，告诉我自签名的证书是危险的，而它显然比未加密的连接更安全？

对于类似的问题，我看到的一个答案是，自签署的证书是不可信的。这是公平的，但为什么我不收到一个巨大的可怕的红色警告告诉一个未加密的连接是危险的？

我是不是遗漏了什么？自签名证书是否能以CA验证的证书不能被破坏的方式被破坏？

这件事给我带来了很多麻烦。举个例子:我建立了一个系统，供工作人员内部使用，无论是在办公室还是在他们自己的电脑上。我不在乎他们是否信任证书，我所关心的只是连接被加密了。这在办公室很好，因为我可以在计算机上远程发布自签名证书以供信任，但我不能在属于员工的计算机上或在外地的计算机上这样做。

Answer 1

浏览器警告不受信任的SSL证书，因为用户希望SSL保护的连接传输敏感数据是安全的。

从您的角度来看，您使用SSL证书加密公司两台计算机之间的数据。你这样做，而不是使用非加密的连接，因为你有一些秘密要传输。秘密是指只与有权知道秘密的人分享，所以谁在连接的另一端很重要。

由于这个原因，当浏览器无法确认远程计算机的身份时，它会警告您。

Answer 2

如果证书是自签名的，并且您的浏览器不知道，您可以向中间的人发送信息。一些敏感的信息可以发送给坏人。如果您的浏览器知道您的自签名证书，您将没有异常，连接将被加密。

您说得对:非固定类型的连接是不好的，但也没有验证自签名的证书。