公共证书基础设施的目的是在不直接相互信任的实体之间创建信任链。您向证书颁发机构付款是因为其他人相信他们只会向可信赖的实体颁发证书。

假设您信任自己（或颁发证书的人），自签名证书的安全性不亚于公共 CA 签名的证书。

类似且可能相关的问题：自签名 SSL 证书是否总比没有好？

自签名证书非常安全，但作为一般性声明，请记住您的客户的浏览器不会信任您的网站，因为您的公钥不在他们的密钥库中。在这种情况下，证书本身充当公钥，客户端假设如果分发证书的服务器可以用它的私钥解密消息，那么它一定是真正的所有者。在这方面，假设您信任网站的所有者，自签名证书与 CA 签署的证书一样安全，我相信您会这样做。

如果处理得当，自签名证书与商业证书颁发机构颁发的证书一样安全。但是，请考虑您需要在每台设备上安装自己的根证书。除非您是唯一的用户或有非常听话的用户愿意忍受安装根证书的麻烦，否则您可能会在实践中看到安全性降低，因为大多数用户只会忽略 SSL 证书警告或完全禁用证书验证反而。（例如，对于 Windows 客户端，在系统范围内安装根证书的步骤非常重要。除此之外，如果您使用 Firefox，您还必须为每个 Firefox 配置文件安装一次。）

在这种情况下，您可能会发现每年花费几美元来获得商业证书是有利的。你甚至可以得到一个免费的。由于基本（单个主机名，域控制验证）证书如此便宜，我不建议在大多数情况下充当您自己的证书颁发机构。

当我创建自己的证书并将其导入我的所有设备时......这是否与购买证书一样安全？

购买证书时，一般流程如下：

1. 生成私钥和公钥（也称为证书）
2. 从公钥生成证书签名请求 (CSR)
3. 将 CSR 发送给 CA，支付一些钱，然后取回由其私钥签名的证书
4. 在您的服务器上安装签名证书及其私钥

当您使用自签名证书时，一般过程如下：

1. 生成私钥和公钥（也称为证书）
2. 使用您的私钥签署证书
3. 在您的服务器上安装签名证书及其私钥

请注意，在这两种情况下，CA 都不需要查看您的私钥。密钥生成由您完成，而不是 CA。CA 只需获取 CSR，对证书中的信息进行某种程度的验证，并通过使用其私钥签署证书并将生成的证书发回给您来证明它是正确的。

因此，如果您在浏览网站时可以忍受自签名证书警告，并且可以放心地验证自己从服务器接收到正确的证书，那么 CA 签名证书和 CA 签名证书之间没有显着的安全差异。自签名证书。