use*_*084 2 security ssl certificate certificate-authority
这只是关于自签名证书和CA证书之间争论的一般性问题......
由于在大多数浏览器中生成的避免警告,我了解CA证书的好处,但CA证书如何使实际安全性受益?我经常听到最大的威胁是中间人攻击,虽然我使用自签名证书了解这个威胁,但我不明白CA证书如何阻止这种威胁.我知道CA执行自己的安全算法不能在自签名证书上使用相同的算法吗?
我想我只是对围绕CA证书需求的大企业感到有点恼火,但除了他们执行的这些假设的额外安全检查之外,似乎无法找到任何不同的东西.从安全角度来看,CA可以提供自签名证书不能提供的任何内容吗?
欺骗.如果对方伪造自签名证书,则无法对此进行检查.为了检查您是否已收到有效证书而非伪造证书,您需要进行第三方检查,这些检查不容易被欺骗.这是通过携带客户端软件的根CA证书(和一些中间证书)列表(Windows为您和主要浏览器执行相同的证书)和使用这些CA证书验证您从服务器收到的证书来完成的. .使用自签名证书时,无法进行此类验证.
当然,您可以在客户端应用程序中携带自签名证书(这是一些开发人员所做的,特别是对于内部应用程序),但这不适用于浏览器.