Pra*_*eek 14 security certificate ssl
默认情况下,SSL 会生成自签名的“蛇油”证书,例如在/etc/ssl/certs/ssl-cert-snakeoil.pem. 根据维基百科,蛇油是一种被视为欺诈或伪造的加密方法或产品。这些证书有什么假的吗?当然,它们没有由任何已知的证书颁发机构签署,但证书本身仍然可以是与其他证书一样好的真实证书。例如,我可能会亲自将服务器的公钥安全地分发给所有客户端。假设这样,生成的证书是否有任何值得蛇油的东西,或者名称是否具有误导性?
Tob*_*len 11
记住 SSL 有两个非常重要的功能
任何自行生成的 SSL 证书都会为您提供 1. 允许加密流量或如您所说的有效 SSL 证书。
但是,自行生成的 SSL 证书只能向信任您的人提供信任。由受信任的 3rd 方生成 SSL 证书的原因是提供数字 2。您的浏览器信任他们,他们也信任您。如果你自己生成它,你可以声称是 www.microsoft.com,如果有人信任你,它就会是。
同样正如评论中所指出的,这就是为什么你不应该相信某人的服务器的自签名证书,因为这样你的浏览器显然会信任由同一服务器签名的任何未来证书。
这就是为什么自生成是蛇油证书。
更新:LetsEncrypt服务与现代网络服务器(如Caddy)相结合,几乎消除了获取和使用 TLS 证书的所有困难,因此不再需要蛇油证书!
自签名证书将像标准证书一样加密您的通信。所以加密不是问题。
证书还可用于验证身份。它的工作原理是,当您安全地连接到服务器时,该服务器将其证书提供给您或您的浏览器,然后您或您的浏览器决定您是否可以信任服务器的身份声明。
证书可以由其他“更高级别”的证书签名,通常称为证书颁发机构。因此,如果服务器的证书是由您或您的浏览器信任的 CA 签署的,则该身份被认为是有效的。
大多数主要浏览器都带有许多它们自动信任的来自 Verisign 和其他知名 CA 的根证书。
对于自签名证书,由于它不是由第三方 CA 签名而是由制作证书的同一实体签名,因此除了生成证书的人之外,您不能依赖其他任何人来验证身份。相当于有人把自己的身份证打印出来交给你验证身份。尽管浏览器发出警告,但如果您知道/信任谁生成了证书或自己完成了证书,这不一定是问题。
| 归档时间: |
|
| 查看次数: |
15136 次 |
| 最近记录: |