用户在我的网站上得到“网站不安全”

这是自签名证书的常见问题，因为您的网站访问者或其浏览器无法验证您的服务器的身份。原因是没有对其进行签名的证书颁发机构，因此浏览器没有位于链接到证书的信任链中的（根）证书。

这个问题自签名证书在此post

的风险是客户端是很好的解释。 SSL服务器证书的重点在于客户端使用它来了解服务器公钥，并保证某些密钥确实属于目标服务器。担保来自CA：CA应该在颁发证书之前对请求者身份进行广泛的验证。

当客户端（用户及其Web浏览器）“接受”未由客户端信任的CA之一颁发的证书（由Microsoft嵌入Windows的CA）时，风险为客户正在与假服务器通话，即正在受到攻击。请注意，无论CA证书是否由主流CA颁发，被动攻击（攻击者观察数据但不以任何方式改变数据）都受到SSL阻碍。

一般而言，您不希望训练用户忽略来自浏览器的可怕安全警告，因为这会使他们容易受到此类服务器模拟攻击（这不容易挂载，例如使用DNS中毒）。另一方面，如果您可以通过其他方式确认证书是真实的，那么只要使用相同的自签名证书，浏览器就会记住证书并且不会显示后续访问的警告。新提出的融合PKI是这一原则的延伸。请注意，只要证书未更改，此“记住证书”即可保留，所以您确实希望在远期设置自签名证书的到期日（但如果您想避免互操作性问题，则不会超过2038年）。

需要注意的是，由于自签名证书不是由CA“管理”的，因此不存在可能的撤销。如果攻击者窃取您的私钥，则永久丢失，而由CA颁发的证书仍然具有理论上的撤销安全网络（CA用于声明给定证书已烂的方式）。实际上，当前的Web浏览器无论如何都不检查撤销状态。