gyu*_*isc 6 security rest certificate ssl-certificate
我们正在尝试部署REST服务(服务不会面向互联网),并希望使用ssl来保护它.为此,我们需要证书并使事情变得更容易,我们在安装时创建根CA.
这是一个好主意吗?使用自签名证书有哪些优缺点?这是一个很好的实践吗?
我是这个领域的新手,所以如果我问一些愚蠢的话,请对我温柔!
使用自签名证书的优点是您在开发时可以节省一些钱。缺点是您使编写客户端变得更加困难,或者要求用户单击\xe2\x80\x9cBig Scary warning\xe2\x80\x9d。我真的建议永远不要告诉用户点击 BSW,因为它们是保护用户免受攻击者进行中间人攻击等行为的关键部分。
\n\n看,获得一个简单的真正的单主机证书确实很便宜(每年几美元)。不值得尝试存那么少的钱。当您要设置私有 CA 并关闭对所有标准 CA 的支持时,这是值得的;这是偏执的,但在高安全性配置中是可以接受的,在这种配置中,分发私有 CA 证书并将其安装在客户端的痛苦是可以忍受的。但通常明智的做法是购买便宜的证书\xe2\x80\xa6
\n