我想使用 https 登录我的个人网页(在共享主机上)。所以我去了谷歌并开始搜索解决方案。最终我发现我需要一个 SSL 证书来实现这一点(我认为这一切都是为每个网站自动启用的,不要问我为什么)。
然后我去了我的托管服务提供商网站,了解了这些证书的价格......但我的博客不需要这样的东西......我还发现证书可以自签名或获得从某些证书颁发机构免费。
我想知道的是 - 我应该如何处理这个?
由于我是唯一一个在那里登录的人 - 我应该生成自己的证书吗?或者从某个 CA 获得免费的?如果是 - 哪个 CA?cacert也许?它会以这种方式保持透明,还是我会开始收到有关自定义和未经验证的证书的警告?我可以相信这样的解决方案吗?
如果我使用共享主机,尝试做这样的事情是否有意义?我的意思是,从我所读到的 - 这个证书必须安装在服务器上,而不仅仅是放在我的托管文件夹中的某个地方(因为我认为它会起作用)......并且托管服务提供商不会这样做免费我猜是因为这有点不符合他们的兴趣(无论如何我问过他们,正在等待回复)......
我应该放弃它,还是有什么我可以自己做的?
我喜欢使用StartCom获得免费证书。 直到 2016 年年中,它在大多数主流浏览器中都得到了认可,并且比使用自签名证书更好(对用户没有错误提示)。
编辑 2016 : Mozilla、Apple和Google等主要浏览器供应商已宣布,由于最近发现证书颁发机构的粗略行为,他们(及其浏览器)不再信任 StartCom 作为证书颁发机构(请参阅供应商名称中的链接以了解其公告这和原因)。
2017 年编辑:Let's Encrypt现在是个人使用的绝佳选择,并且似乎比 StartSSL 更广泛地被接受。Let's Encrypt 的缺点是证书的有效期相对较短(3 个月),但如果您能够利用他们通过某些工具提供的自动续订功能,这并不算太麻烦。
您购买 SSL 证书(而不购买 rsa/dsa 密钥)的唯一原因之一是信任关系。
如果您可以安全地将自签名 SSL 证书导入浏览器并在您的 Web 服务器上安装 SSL 证书,则没有理由让其他任何人参与其中。
有关详细信息,请参阅AviD 对 SSL 的全面描述。SSL 提供什么:
* It encrypts the channel * It applies integrity checking * It provides authentication
如果您使用自签名证书,您可以获得所有这 3 个,但您必须在端点上安全地安装证书才能获得第三个功能。
从最近开始,还可以从Let's Encrypt获得免费证书,这是一个免费、自动化和开放的 CA。
您需要研究的一件事是您是否能够在共享主机上使用 SSL。如果您没有唯一的 IP 地址(例如,使用 VPS 计划),那么让 SSL 工作将很棘手。
传统上,SSL 是基于每个 ip 而不是每个主机名处理的,因此在您使用基于命名的虚拟主机(大多数低端 Web 托管计划)的情况下,不可能为每个站点分配唯一的证书。现在可以使用SNI,但您需要检查您的托管公司和浏览器是否支持它。