在工作中,我有一堆使用普通 http 或自签名证书的 Web 界面(负载平衡器管理界面、内部 wiki、cacti 等)。
无法从特定的 vlan/网络外部访问。
对于家庭使用,我使用cacert SSL 证书。
我想知道我是否应该建议我的雇主使用 cacert SSL 证书而不是自签名证书和普通的 http。有人在生产中使用 cacert ssl 吗?有什么优点/缺点?它提高了安全性吗?是否更容易管理?有什么意外吗?它会影响质量扫描吗?我怎样才能说服他们?
当然,公共网站的付费证书将保持不变。
编辑 :
(只是好奇)公司提供的免费 ssl 证书似乎不是 3 级。我必须出示护照并亲自到场才能从 cacerts 获得 3 级证书。每个类别 1 的浏览器中没有警告吗?
无论如何,我对任何免费 CA 都会有同样的问题:它比使用自签名和普通 http 更好,为什么?
我会这样做是为了便于管理,服务器端。我错过了什么吗?
免责声明:我不是cacert 协会成员,甚至不是 Assurer,只是一个普通的快乐用户。
我建议使用 StartSSL 提供的免费 SSL 证书,现代浏览器也可以识别这些证书。我对 CACert 没有任何反对意见,除了它只需要一个帐户来颁发证书,并且除非您手动安装根证书,否则任何人都无法识别这些证书。
强制性免责声明,因为这是产品推荐:我不以任何方式隶属于 StartSSL。只是一个快乐的客户。
我建议,虽然使用免费证书(例如来自 CACert 的证书)没有任何问题,但您可能也不会从中获得任何好处。
由于它们默认不受任何信任,因此您仍然需要将根证书安装/部署到所有客户端,这与使用自签名证书或内部 CA 颁发的证书所遇到的情况相同。
我更喜欢(和使用)的解决方案是内部证书颁发机构并将其根证书大规模部署到所有域计算机。控制您使用的证书颁发机构使证书管理比通过门户网站更容易。使用您自己的 CA,您通常可以编写证书请求和相应的证书颁发脚本,以便所有需要证书的服务器、站点和任何内容都可以自动获取证书,并在放入您的环境后几乎立即受到客户的信任, IT 无需付出任何努力或手动任务。
当然,如果您无法完成设置和自动化您自己的 CA 的任务,那么使用像您提到的那样的外部免费 CA 可以让您的生活变得更轻松,只需部署一个外部根证书......但是您可能应该尝试第一次就做对,并为您的域设置一个内部 CA。