这是一个创建于 2688 天前的主题,其中的信息可能已经有所发展或是发生改变。
自签证书后用 Chrome 通过 HTTPS 访问会显示不安全( Not secure )
这种自签证书能否一定程度上加密 HTTP 流量,使非针对性的,例如免费 WIFI 之类的监控网关失效?
(知道有很多免费或者廉价的 SSL 可以申请,本问题是自签证书不通过任何第三方证书颁发机构)
这种自签证书能否一定程度上加密 HTTP 流量,使非针对性的,例如免费 WIFI 之类的监控网关失效?
(知道有很多免费或者廉价的 SSL 可以申请,本问题是自签证书不通过任何第三方证书颁发机构)
 |
1
chenset 2017-07-06 12:48:52 +08:00  1
加密效果与认证签一致. 第三方只是提供了认证而已. "访问会显示不安全" 是浏览器没法确定来源.
1.加密保证传输数据安全. 2.认证保证数据来源. 是这个意思吧? |
 |
2
czb 2017-07-06 12:49:34 +08:00 via Android 1
自签并不会影响加密强度 自签的安全保障是每次看证书的 hash 值
|
 |
3
mooncakejs 2017-07-06 13:20:23 +08:00 via iPhone 1
自签再添加 ca 证书,对你自己而言,和买的没什么两样
|
 |
4
klesh 2017-07-06 14:08:09 +08:00 via Android 1
楼上说得都对。
介意提示就把你的 ca 证书添加到 chrome 里 |
 |
5
nikoo OP |
|
6
mooncakejs 2017-07-06 14:23:54 +08:00 1
@nikoo 理论上只有自己用更安全了, 因为 你的 ca 是你自己,不可能被仿冒证书。 君不见 12306 就用自己的 ca 证书。
|
 |
7
senghoo 2017-07-06 14:27:53 +08:00 1
可以做到加密,但是有人中间人攻击你就不知道了。
除非你自签个根在本地设为信任,然后签个证书给你的服务器。 |
 |
8
stabc 2017-07-06 14:56:31 +08:00 1
自己建就自己信任就好,相当于.ssh/known_hosts
|
 |
9
johnlui 2017-07-06 14:59:41 +08:00 1
HTTPS 本来就是为了更安全的,只是后来出现了认证的生意,才把可信这些高级特性加进去。。。
|
 |
10
mornlight 2017-07-06 15:41:35 +08:00 1
自己一个人用的话把这个证书添加信任就行了,其他的加密流程都一样。
|
 |
12
ryd994 2017-07-06 17:04:21 +08:00 1
自己添加 ca,不要忽略伪造的 CA 就好。
Cloudflare 那个回源证书不就是这么回是 |
|
13
klesh 2017-07-06 19:28:25 +08:00 via Android
难得,这次竟然意见如此统一。
|
 |
14
neilp 2017-07-06 21:15:38 +08:00
可以防止被动的嗅探攻击,
对主动攻击有一定的作用, 增加其 cpu 内存 开销. |
 |
15
wenzhoou 2017-07-06 23:10:07 +08:00 via Android
https://letsencrypt.org/getting-started/ 随便搞个证书还不是美滋滋。
|
 |
17
gongjianwei 2017-07-07 00:15:20 +08:00 via Android
|
 |
20
lun10439547 2017-07-07 08:14:31 +08:00
|
|
21
johnlui 2017-07-07 08:29:53 +08:00 via Android
@lun10439547 不好意思,开发环境我都没用过 lets encrypt …
|
|
22
johnlui 2017-07-07 08:34:15 +08:00 via Android
@lun10439547 这里讨论的是自签名证书的加密,楼主也描述了他的场景确实适合用自签名证书。我们顺带揭露了一下证书生意的垄断暴利的本质。人在屋檐下不得不低头,生产环境一个证书我都要花几百美元买,我不傻。反观你这条回复,我认为你是为了赢而赢,不好,并不是一个逻辑。
|
|
23
lun10439547 2017-07-07 08:41:31 +08:00
@johnlui 我是看评论里的逻辑顺序来回答你的。
|
 |
24
thecon 2017-07-07 10:32:24 +08:00
@msg7086 花钱买的证书相当于是一个大家都信任的权威机构发出来的证书, 你因为这个权威性付费。
但是再权威的机构也没有你自己更可信啊,所以自签证书应该比买来的更安全。 |
|
25
wenzhoou 2017-07-07 11:47:22 +08:00 via Android
反正 lets encrypt 快到期了就会给我发邮件让我更新的。个人网站这么搞。本番当然花钱买了放到 Hsm 里面啦。
|
 |
26
Silicon 2017-07-07 11:48:57 +08:00
自签名证书的问题是如何让用户信任你自签名证书的颁发机构
这个问题解决了就没其他问题了 |
 |
27
msg7086 2017-07-07 23:43:00 +08:00
@thecon 说的 let's encrypt 的证书。
@lun10439547 生产环境你跟我说不做证书过期监控?那才叫呵呵了。 3 个月到期,满 2 个月后邮件提醒,再加上证书过期监控提前半个月报警,你这样要是能证书过期,真的这网站就别做了。 |
 |
28
ouqihang 2017-07-08 10:07:45 +08:00
为什么买的证书不警告,是因为系统内置信任证书列表,那些机构签的证书就被信任了。。。
|
Select Language