为什么 SSL 不使用自己的 CA 启用 Apache?
Why not SSL enable Apache with own CA?
我购买了一个域名。我建立了一个部署在 Apache 上的网站,可以在我的域中访问,目前使用 http 协议 "port 80"。我现在想为 SSL 配置此 Apache 服务器。我正在评估以下 2 个选项。
选项 #1:我创建 "Certificate Signing Request" (CSR),然后在充当 CA 时,我根据 CSR 创建证书,然后将 Apache 配置为 运行 在端口上443,用我创建的证书。
选项 #2:我创建了 CSR,我将我的 CSR 提交给像 Symantec 这样广为人知的 CA 以获得证书。然后,我使用 Symantec 提供的证书将 Apache 配置为 运行 端口 443。
选项 #1 的缺点是什么?
从最终用户的角度来看 "someone accessing my site",他们有什么迹象表明我使用了选项 #1?
使用选项 #1,我无法让最终用户访问我的网站以获得绿色栏菜单的假设是否正确?
对于选项 1,最终用户没有信心他们没有被欺骗。因为您充当自己的 CA,所以最终用户必须决定是否信任您。如果他们这样做 - 他们很可能会信任拦截了您的请求并使用他们自己的证书的人。
使用选项 2,用户信任提供您证书的 CA,并且可以更加确信没有发生中间人攻击。
出于某些目的,您自己的自签名证书可能没问题。但不适用于任何真正的电子商务。
我购买了一个域名。我建立了一个部署在 Apache 上的网站,可以在我的域中访问,目前使用 http 协议 "port 80"。我现在想为 SSL 配置此 Apache 服务器。我正在评估以下 2 个选项。
选项 #1:我创建 "Certificate Signing Request" (CSR),然后在充当 CA 时,我根据 CSR 创建证书,然后将 Apache 配置为 运行 在端口上443,用我创建的证书。
选项 #2:我创建了 CSR,我将我的 CSR 提交给像 Symantec 这样广为人知的 CA 以获得证书。然后,我使用 Symantec 提供的证书将 Apache 配置为 运行 端口 443。
选项 #1 的缺点是什么?
从最终用户的角度来看 "someone accessing my site",他们有什么迹象表明我使用了选项 #1?
使用选项 #1,我无法让最终用户访问我的网站以获得绿色栏菜单的假设是否正确?
对于选项 1,最终用户没有信心他们没有被欺骗。因为您充当自己的 CA,所以最终用户必须决定是否信任您。如果他们这样做 - 他们很可能会信任拦截了您的请求并使用他们自己的证书的人。
使用选项 2,用户信任提供您证书的 CA,并且可以更加确信没有发生中间人攻击。
出于某些目的,您自己的自签名证书可能没问题。但不适用于任何真正的电子商务。