为什么SSL不能使用自己的CA来启用Apache?
问题描述:
我购买了一个域名。我设置了一个部署在Apache上的网站,该网站可以在我的域中访问,目前使用http协议“端口80”。我现在想要为SSL配置这个Apache服务器。我正在评估下面的2个选项。为什么SSL不能使用自己的CA来启用Apache?
选项1:我创建“证书签名请求”(CSR),然后在充当CA的同时,基于CSR创建证书,然后将Apache配置为在端口443上运行,我创建。选项2:我创建了CSR,我将我的CSR提交给像赛门铁克这样广为人知的CA,以获得证书。然后,我将Apache配置为使用Symantec提供的证书在端口443上运行。
选项#1的缺点是什么?
从最终用户的角度来看,“访问我的网站的人”,他们会有什么迹象表明我使用了选项#1?
使用选项#1假设我无法让最终用户访问我的网站以获取绿色栏菜单,是否正确?
答
对于选项1,最终用户没有信心他们没有被欺骗。由于您充当您自己的CA,最终用户必须决定是否信任您。如果他们这样做 - 他们可能会相信某人拦截了您的请求并使用了自己的证书。
使用选项2,用户信任提供证书的CA,并且可以更加确信没有发生中间人攻击。
出于某种目的,您自己的自签名证书可以没事。虽然不是任何真正的电子商务。
最终用户得知我没有使用高度认可的CA有什么启示?对于高级用户,他们可能会知道单击浏览器URL栏左侧的按键图标要查看此CA信息...但对于典型/大多数用户,他们是否会以任何方式知晓? – wesg
默认情况下,他们不会信任您的证书,因此他们将获得不受信任的证书通知。只有在他们信任签名证书的情况下才能避免通知。大多数CA都将自己的证书追溯到自动获得浏览器信任的证书。 – Brody
有些服务器现在非常清楚证书是不可信的 - 通常会阻止该页面,直到您允许为止。 – Brody