V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nikoo
V2EX  ›  问与答

自签证书的 SSL 有没有哪怕一点点的加密效果?

  •  
  •   nikoo · 2017-07-06 12:42:11 +08:00 · 6458 次点击
    这是一个创建于 2698 天前的主题,其中的信息可能已经有所发展或是发生改变。
    自签证书后用 Chrome 通过 HTTPS 访问会显示不安全( Not secure )

    这种自签证书能否一定程度上加密 HTTP 流量,使非针对性的,例如免费 WIFI 之类的监控网关失效?

    (知道有很多免费或者廉价的 SSL 可以申请,本问题是自签证书不通过任何第三方证书颁发机构)
    28 条回复    2017-07-08 10:07:45 +08:00
    chenset
        1
    chenset  
       2017-07-06 12:48:52 +08:00   ❤️ 1
    加密效果与认证签一致. 第三方只是提供了认证而已. "访问会显示不安全" 是浏览器没法确定来源.

    1.加密保证传输数据安全.
    2.认证保证数据来源.
    是这个意思吧?
    czb
        2
    czb  
       2017-07-06 12:49:34 +08:00 via Android   ❤️ 1
    自签并不会影响加密强度 自签的安全保障是每次看证书的 hash 值
    mooncakejs
        3
    mooncakejs  
       2017-07-06 13:20:23 +08:00 via iPhone   ❤️ 1
    自签再添加 ca 证书,对你自己而言,和买的没什么两样
    klesh
        4
    klesh  
       2017-07-06 14:08:09 +08:00 via Android   ❤️ 1
    楼上说得都对。
    介意提示就把你的 ca 证书添加到 chrome 里
    nikoo
        5
    nikoo  
    OP
       2017-07-06 14:12:30 +08:00
    @chenset @czb @mooncakejs @klesh

    非常感谢!
    那么一个只有我自己使用的 WEB 应用,我使用自签证书也是可以达到安全的目的了?
    mooncakejs
        6
    mooncakejs  
       2017-07-06 14:23:54 +08:00   ❤️ 1
    @nikoo 理论上只有自己用更安全了, 因为 你的 ca 是你自己,不可能被仿冒证书。 君不见 12306 就用自己的 ca 证书。
    senghoo
        7
    senghoo  
       2017-07-06 14:27:53 +08:00   ❤️ 1
    可以做到加密,但是有人中间人攻击你就不知道了。
    除非你自签个根在本地设为信任,然后签个证书给你的服务器。
    stabc
        8
    stabc  
       2017-07-06 14:56:31 +08:00   ❤️ 1
    自己建就自己信任就好,相当于.ssh/known_hosts
    johnlui
        9
    johnlui  
       2017-07-06 14:59:41 +08:00   ❤️ 1
    HTTPS 本来就是为了更安全的,只是后来出现了认证的生意,才把可信这些高级特性加进去。。。
    mornlight
        10
    mornlight  
       2017-07-06 15:41:35 +08:00   ❤️ 1
    自己一个人用的话把这个证书添加信任就行了,其他的加密流程都一样。
    xenme
        11
    xenme  
       2017-07-06 15:57:21 +08:00   ❤️ 1
    @nikoo 理论上来说,如果只有你自己用,自签证书比外面的更安全。
    ryd994
        12
    ryd994  
       2017-07-06 17:04:21 +08:00   ❤️ 1
    自己添加 ca,不要忽略伪造的 CA 就好。
    Cloudflare 那个回源证书不就是这么回是
    klesh
        13
    klesh  
       2017-07-06 19:28:25 +08:00 via Android
    难得,这次竟然意见如此统一。
    neilp
        14
    neilp  
       2017-07-06 21:15:38 +08:00
    可以防止被动的嗅探攻击,

    对主动攻击有一定的作用, 增加其 cpu 内存 开销.
    wenzhoou
        15
    wenzhoou  
       2017-07-06 23:10:07 +08:00 via Android
    https://letsencrypt.org/getting-started/ 随便搞个证书还不是美滋滋。
    nVic
        16
    nVic  
       2017-07-06 23:18:29 +08:00 via iPhone
    @wenzhoou 这个远远不如花钱买的 geotrust 省事放心
    gongjianwei
        17
    gongjianwei  
       2017-07-07 00:15:20 +08:00 via Android
    msg7086
        18
    msg7086  
       2017-07-07 02:16:23 +08:00
    @nVic 这个和花钱买的证书没有什么区别。
    johnlui
        19
    johnlui  
       2017-07-07 02:19:02 +08:00 via Android
    @nVic 一名合格的程序员应该能够一眼看出证书生意背后的垄断暴利本质
    lun10439547
        20
    lun10439547  
       2017-07-07 08:14:31 +08:00
    @johnlui
    @msg7086

    三个月到期,生产环境万一出 bug 过期一次。。。那就呵呵了。。个人认为,不管是 个人还是企业网站,专心做站做应用的就不应该用这么不稳定的证书!
    任他暴力好了,也才外面一顿饭的钱,也比过期访问不了来的好,买了省心,安心做站。
    johnlui
        21
    johnlui  
       2017-07-07 08:29:53 +08:00 via Android
    @lun10439547 不好意思,开发环境我都没用过 lets encrypt …
    johnlui
        22
    johnlui  
       2017-07-07 08:34:15 +08:00 via Android
    @lun10439547 这里讨论的是自签名证书的加密,楼主也描述了他的场景确实适合用自签名证书。我们顺带揭露了一下证书生意的垄断暴利的本质。人在屋檐下不得不低头,生产环境一个证书我都要花几百美元买,我不傻。反观你这条回复,我认为你是为了赢而赢,不好,并不是一个逻辑。
    lun10439547
        23
    lun10439547  
       2017-07-07 08:41:31 +08:00
    @johnlui 我是看评论里的逻辑顺序来回答你的。
    thecon
        24
    thecon  
       2017-07-07 10:32:24 +08:00
    @msg7086 花钱买的证书相当于是一个大家都信任的权威机构发出来的证书, 你因为这个权威性付费。
    但是再权威的机构也没有你自己更可信啊,所以自签证书应该比买来的更安全。
    wenzhoou
        25
    wenzhoou  
       2017-07-07 11:47:22 +08:00 via Android
    反正 lets encrypt 快到期了就会给我发邮件让我更新的。个人网站这么搞。本番当然花钱买了放到 Hsm 里面啦。
    Silicon
        26
    Silicon  
       2017-07-07 11:48:57 +08:00
    自签名证书的问题是如何让用户信任你自签名证书的颁发机构

    这个问题解决了就没其他问题了
    msg7086
        27
    msg7086  
       2017-07-07 23:43:00 +08:00
    @thecon 说的 let's encrypt 的证书。

    @lun10439547 生产环境你跟我说不做证书过期监控?那才叫呵呵了。
    3 个月到期,满 2 个月后邮件提醒,再加上证书过期监控提前半个月报警,你这样要是能证书过期,真的这网站就别做了。
    ouqihang
        28
    ouqihang  
       2017-07-08 10:07:45 +08:00
    为什么买的证书不警告,是因为系统内置信任证书列表,那些机构签的证书就被信任了。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 09:42 · PVG 17:42 · LAX 01:42 · JFK 04:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.