为什么我需要SSL证书？

我有一个简短的问题：为什么我需要SSL证书（我的意思是只有证书而不是SSL连接）

在我的例子中，Google Chrome检测到，连接是加密和安全的，但所有内容都是红色的，因为我自己创建了证书。 如果连接安全，为什么我需要SSL证书？

在密码学中，证书颁发机构或证书颁发机构 （CA）是颁发数字证书的实体。数码相机 证书证明指定用户对公钥的所有权 证书的主题。这使得其他方（依赖方）能够 依赖于签名或对私钥所做的断言 对应于经认证的公钥。CA充当受信任的第三方 受证书主体（所有者）和 依赖证书的一方。这些文件的格式 证书由X.509标准规定

（来自）

您不是一个受信任的CA。基本上，如果您签署了自己的证书，那么就没有人能够保证服务器是真正的。如果您有一个有效的、受信任的第三方担保，那么证书将是“有效的”

---

拥有自签名证书并不一定意味着网站是危险的，只是服务器的身份无法验证，因此对访问者来说风险更大。

所有浏览器都不信任自创建或自签名证书。正如我们现在所知道的，所有的浏览器都对安全性要求更高。让我们先明确一点，浏览器不信任你。时期 这可能看起来很苛刻，但这只是一个事实，浏览器的工作是在保护用户的同时上网，这要求他们对任何人或任何事都持怀疑态度

然而，浏览器确实信任一小部分公认的证书颁发机构。这是因为这些CA遵循特定的指导原则，提供特定的信息是浏览器的常规合作伙伴。甚至还有一个称为CA/B论坛的论坛，CA和浏览器在此聚会，讨论基线要求和所有CA必须遵守的新规则，以继续得到认可

这是高度管制的

而且你不是CA/B论坛的成员

更好的选择是从受信任的证书颁发机构获取SSL证书

---

以下是您需要知道的

仅仅因为到192.168.xxx.xxx的流量没有离开您的网络边界并不意味着它是安全的

特别是如果你有BYODs连接到网络（即使没有，你也不想成为一名黑客），有人可以携带一台受损的笔记本电脑或手机，将其连接到网络，病毒可以拦截网络上的一切（请参阅）

因此，你必须假设网络是恶意的——把你的局域网当作互联网来对待

现在问题又回来了——为什么我不能依赖自签名证书（在本地网络和互联网上）

那么，你在防范什么呢？TLS（SSL）可防止两种情况：

拦截-即使我向你发送信息（我成为你的路由器），我也无法读取你发送和接收的信息（因此我无法读取你的信用卡号码或密码）

欺骗-我不能在你和服务器之间插入代码

那么它是如何工作的呢

我连接到服务器并获得由CA签名的证书。浏览器认为该CA是可信的（他们必须通过各种审核才能获得信任，如果他们破坏了信任，他们就会被逐出）。它们验证您是否控制了服务器，然后对您的公钥进行签名

因此，当客户机从服务器获得签名公钥时，他知道他将加密一条只有目标服务器才能解密的消息，因为MITM将无法用自己的公钥替换服务器的公钥（他的公钥不会由CA签名）

现在，您可以安全地与服务器通信

如果浏览器接受任何SSL证书（自签名），会发生什么情况

还记得浏览器如何区分官方证书和伪造的MITM证书吗？由CA签名。如果没有CA，浏览器根本无法知道它是在与官方服务器还是MITM对话

因此，自签名证书是一个大禁忌

---

不过，您可以做的是生成一个证书并使其成为“根”证书（实际上，为您的内部计算机启动您自己的CA）。然后，您可以将其加载到您的浏览器CA store中，您就可以通过SSL进行通信，而无需通过letsencrypt（顺便说一句，这就是企业网络监控工具的工作方式）。

因为拥有解锁汽车的钥匙并不意味着您拥有汽车。这与编程无关，对吗？要解决这个问题，可以使用EFF中的cerbot