https 站点是否必须具有世界知名的 CA 证书?
Is a world known CA certificate compulsory for a https site?
我希望我的站点使用 HTTPS 协议是安全的。我设法使自签名密钥成为 trustedCertEntry,因为我制作了自己的 CA 证书,使用不同的 CN,我用它来签署自己的私人证书。
它可以顺利地使用 openssl 进行测试,例如:
openssl s_client -connect www.mydomain.com:80 -tls1 -state
因此,浏览器不会报告 certificate self-signed 错误,因为它看到了不同的 CA。
但是我收到 SEC_ERROR_UNKNOWN_ISSUER 错误。对我来说这仍然是合乎逻辑的,因为没有人知道我是 CA。如果用户为我添加例外,它应该可以工作。
我认为这个技巧是可以接受的,就像许多 https 兼容的网站都在工作一样,因为您可能会访问一个未知的网站并且您想加密来自第 3 方观察者的通信但信任该页面。
在尝试获得明确的回应之后,除了我会找到资源的编码之外,我的问题是:
如果我想要一个用户在第一次访问时不必添加例外的站点,我是否必须从 "world-known" CA 获得证书?或者我是否缺少使用我自己的 CA 证书对我的证书进行自签名的解决方案?
从技术上讲,答案是:是的,您必须通过中间 CA 链从您的用户浏览器信任的 CA 获取证书,中间 CA 以固有的受信任根 CA 结尾。这个问题的公认答案解释了它是如何工作的:SSL Certificate framework 101: How does the browser actually verify the validity of a given server certificate?
话虽如此,如果您 "only" 关心的是提供加密连接,您或许可以利用 Let's Encrypt CA, which provides free certificates for that purpose. Those certificates will be only domain-validated, which provides a weaker kind of assurance of identity than, for example, an Extended Validation Certificate。
根据使用的浏览器,DV 和 EV 证书之间的用户体验差异很小。对于 Safari,用户将在地址栏中看到一个灰色的挂锁,用于低保证 DV 支持的网站,如下所示:
以及在提供更高身份保证时的绿色挂锁,如下所示:
前者是否适合您(或您的客户)取决于您的情况。
如果您想了解 "inherently trusted" 对于 Web 浏览器的实际含义,请参阅此博客 post:Who your browser trusts, and how to control it.
我希望我的站点使用 HTTPS 协议是安全的。我设法使自签名密钥成为 trustedCertEntry,因为我制作了自己的 CA 证书,使用不同的 CN,我用它来签署自己的私人证书。
它可以顺利地使用 openssl 进行测试,例如:
openssl s_client -connect www.mydomain.com:80 -tls1 -state
因此,浏览器不会报告 certificate self-signed 错误,因为它看到了不同的 CA。
但是我收到 SEC_ERROR_UNKNOWN_ISSUER 错误。对我来说这仍然是合乎逻辑的,因为没有人知道我是 CA。如果用户为我添加例外,它应该可以工作。
我认为这个技巧是可以接受的,就像许多 https 兼容的网站都在工作一样,因为您可能会访问一个未知的网站并且您想加密来自第 3 方观察者的通信但信任该页面。
在尝试获得明确的回应之后,除了我会找到资源的编码之外,我的问题是:
如果我想要一个用户在第一次访问时不必添加例外的站点,我是否必须从 "world-known" CA 获得证书?或者我是否缺少使用我自己的 CA 证书对我的证书进行自签名的解决方案?
从技术上讲,答案是:是的,您必须通过中间 CA 链从您的用户浏览器信任的 CA 获取证书,中间 CA 以固有的受信任根 CA 结尾。这个问题的公认答案解释了它是如何工作的:SSL Certificate framework 101: How does the browser actually verify the validity of a given server certificate?
话虽如此,如果您 "only" 关心的是提供加密连接,您或许可以利用 Let's Encrypt CA, which provides free certificates for that purpose. Those certificates will be only domain-validated, which provides a weaker kind of assurance of identity than, for example, an Extended Validation Certificate。
根据使用的浏览器,DV 和 EV 证书之间的用户体验差异很小。对于 Safari,用户将在地址栏中看到一个灰色的挂锁,用于低保证 DV 支持的网站,如下所示:
以及在提供更高身份保证时的绿色挂锁,如下所示:
前者是否适合您(或您的客户)取决于您的情况。
如果您想了解 "inherently trusted" 对于 Web 浏览器的实际含义,请参阅此博客 post:Who your browser trusts, and how to control it.