自签名SSL证书或CA？

我想有我的网站的认证和注册部分加密（出于明显的原因）。这个网站是我和一些朋友在中学开始的，现在仍然使用的一个旧网站。在不久的将来，我可能会也可能不会注册成为一个非盈利组织，但不管怎样，CA需要花钱，而该组织没有钱，我们现在是大学生

Verisign是不合理的，GoDaddy是30美元/年。GoDaddy并不是太不合理，我认为他们的证书被大多数网络浏览器所接受。GoDaddy的问题是，我不知道为什么他们有不同的SSL产品（即：为什么不验证我很便宜？这对证书有什么影响？如果它只包含一个域名，浏览器如何处理它？）

另外，使用我自己的证书是否有问题？登录页面是否可以是http，并有一行说明我使用自签名证书，这是指纹，然后将表单发布到https页面？Safari的方法不是太糟糕，也不是太吓人。然而，我担心Firefox3的方法会把人们吓跑，并给我一大堆电子邮件，说我的网站被黑客入侵或其他什么。我不知道IE如何响应自签名证书。（还有一个问题是，为什么要为我自己不费吹灰之力就能创造的东西买单，但我不打算提出它的哲学部分，这是一个更实际的问题。）

总之，我是每年给戈达迪30美元，还是只在一小段中告诉别人我在做什么，然后给那些真正想要我指纹的人

编辑：我在一个论坛上阅读了一些关于更多信息的文章，其中提到只有在GoDaddy服务器上才提供GoDaddy证书，而这不是。两件事：（1）这是真的吗？而且还有其他CA的价格差不多，所以争论应该还是一样的。

在新的十年里从免费CA那里获得证书，这是浏览器广泛支持的

我还没有试过，但在一篇文章中提到过。显然，你可以免费获得一年证书，Firefox3也接受了这一证书

---

即使您必须付费，我也建议使用CA而不是自签名证书。有些人不会看到你的解释，一个假冒网站可能会像你建议的那样发布他们自己的假冒证书指纹。我怀疑普通用户是否知道什么是证书指纹或如何检查它。

与其创建自签名证书，不如创建一个自签名CA，然后用它签署您的HTTPS证书。要求用户安装CA比安装单个服务器证书更容易，并且您可以创建新证书（例如，子域证书或更新过期证书），而用户无需再次安装服务器证书

然后，您可以稍后决定是否值得花30美元从您自己的CA签署的证书切换到由GoDaddy或其他人签署的同一证书

无论哪种方式，都不要将表单发布到HTTPS的HTTP页面。用户看不到它要去的地方；他们必须查看源代码以检查表单是否被劫持到其他地方，并且没有人会这么做。您必须有一个带有CA链接的HTTP首页和一个指向HTTPS登录表单的单独链接

要求用户使用通过普通HTTP下载的证书安装CA有点顽皮：如果中间有人，他们可以随时更换您的CA并劫持随后的HTTPS连接。实际发生这种情况的可能性很低，因为它必须是有针对性的攻击，而不是普通的自动嗅探，但实际上，您应该在其他受HTTPS保护的服务上托管CA下载链接

客户接受度是一个只有你才能回答的问题，知道你的用户是谁。当然，Firefox的界面太可怕了。如果像戈达迪这样的中科院现在降到30美元，我可能会去买；过去情况非常非常糟糕

假设对旧浏览器和小众浏览器的支持不是什么大问题，那就选择最便宜的CA吧。你应该付钱让CA正确地验证你是谁，但实际上这不是它的工作方式，而且从来没有这样过，因此为更彻底的检查支付额外费用几乎不会让你得到任何东西。Verisign的高价单靠公司的惯性就能生存

CA只拥有几百位的私钥，什么也不做就可以得到钱。身份验证的内容本来应该是CA授权的一部分，现在已经转移到EV证书上。这更像是敲诈。Joy.

自签名证书。是的，真的。“至少它是加密的”一点帮助都没有。从文章中：

世界级加密*零身份验证=零安全性

如果您的网站是为您和您的一些朋友而设，那么您可以创建自己的CA并将证书分发给朋友

否则，要么从已知的CA（）获取证书，要么根本不必担心自签名证书，因为您所得到的只是一种错误的安全感

---

为什么仅仅加密的流量是不安全的？您总是允许另一端解密您的流量（您必须这样做，否则您将发送胡言乱语）

如果您不检查另一端的用户，您就允许任何人解密您的流量。如果您将数据安全地发送给攻击者或不安全地发送给攻击者，这没有什么区别-攻击者无论如何都会获得数据

---

我不是说检查paypal.com是否属于值得信赖的金融机构（这是一个更大的问题）。我说的是检查你是在向paypal.com发送数据，还是只是向拐角处的一辆货车发送一份证书，上面写着“是的，我完全像paypal.com，你有我的话，这是真的！”

昨晚我终于崩溃了，把我的服务器从自签名改为GoDaddy证书，这没什么大不了的，除了他们的专业