Jos*_*eph 6 certificate iis-7 https
在实时站点上使用自签名证书有什么好处吗?
我知道在 IIS 7 中你有能力对证书进行自签名,我想知道使用它作为从 CA 购买证书的前身是否是一个好主意。
您是否获得了与 CA 签名证书相同的加密优势,还是我混淆了术语?(运行 https 协议)
Edd*_*die 10
加密不是证书的属性,也不是它的签名来源。您从 CA 签名证书中获得的好处是它会自动被 Web 浏览器(和其他 SSL 感知应用程序)信任。自签名证书会弹出一个警告,提示该证书不受信任。在更新的浏览器(例如 FireFox 3)中,默认操作是拒绝显示页面,并且用户必须采取深思熟虑的操作来启用自签名(或已过期)证书的使用。
如果您可以与将使用该网页的每个人交谈(例如,如果这仅适用于您的家人),则这不是问题。告诉他们期待该警告以及如何在他们的浏览器中处理它,这是一次性问题。
但是,如果这是用于任何需要接近真正安全的用途,您可能需要一个真实的、签名的而非自签名的证书。
您将获得相同的加密优势,但查看您网站的每个人都会收到警告,指出您的证书不受信任(或来自不受信任的来源)。获得主流证书之一的优势在于它们已经在浏览器中作为受信任的。
在 IE 7 中,转到工具、Internet 选项、内容、证书、受信任的根证书颁发机构。默认情况下,这些都是 IE 信任的权限。
相信。自签名证书提供相同的加密。
但我相信 CA。我不相信你。
那我为什么不信任你呢?因为不能保证证书上的名字(“Discount Bob's Hanggliding and BBQ Emporium”)是实际创建证书的人。我可以创建一个证书,上面写着“鲍勃的滑翔机和烧烤商场折扣”,当你去 ritter.vg 时,它会说“鲍勃的滑翔机和烧烤商场折扣”。
但是当我要求 CA 签署我的证书时,上面写着“Discount Bob's Hanggliding and BBQ Emporium”,他们会问“当然,给我看一些凭据”而我没有任何凭据,所以他们会让我生气. 但是实际的 Discount Bob 将拥有这些凭据,CA 将对其进行签名。因此,当您看到由 CA 签署的证书时,您就会知道它实际上是Discount Bob,因为如果不是它,CA 就不会签署它。
签名证书的目的是验证此人确实是他所说的那个人。因为 CA 说他是,我信任 CA。
加密与证书没有直接关系——它只是被添加进来,因为它很好,并且相辅相成。
自签名证书的优点:
缺点:
快速场景:如果有人在网吧设置了一个流氓 wifi 接入点,那么就有可能透明地代理受害者用户的活动并在网络嗅探器中观察它。通常,SSL 是加密的,数据不可用。但是,存在代理用户的 HTTPS 请求并检查传输中的受害者内容的工具。这具有为受影响的用户提供通常不受信任的不真实证书的副作用。
如果您登录银行网站并收到 SSL 安全警告,请不要继续。你可能是目标。
有些人可能会认出这是Hak5 Pineapple。