Почему бы SSL не включить Apache с собственным CA?
Я купил доменное имя. Я настроил веб-сайт, развернутый на Apache, который доступен в моем домене, в настоящее время по протоколу http "порт 80". Теперь я хочу настроить этот сервер Apache для SSL. Я оцениваю ниже 2 варианта.
Вариант № 1: я создаю "Запрос на подпись сертификата" (CSR), затем, действуя как CA, я создаю сертификат на основе CSR, затем я настраиваю Apache для работы на порту 443 с сертификатом, который я создал.
Вариант № 2: Я создаю CSR, я отправляю CSR в широко известный CA, такой как Symantec, чтобы получить сертификат. Затем я настраиваю Apache для работы через порт 443 с сертификатом, предоставленным Symantec.
Каковы недостатки варианта № 1?
С точки зрения конечного пользователя, "кто-то заходит на мой сайт", какие у них будут признаки того, что я использовал вариант № 1?
Правильно ли предположить, с опцией № 1, что я не смогу заставить конечных пользователей получить доступ к моему сайту, чтобы получить зеленое меню панели?
1 ответ
При выборе варианта 1 конечный пользователь не уверен, что его не подделывают. Поскольку вы действуете как собственный ЦС, конечный пользователь должен принять решение о том, доверять ли вам. Если они это сделают - они вполне могут доверять кому-то, кто перехватил ваш запрос и использовал свой собственный сертификат.
При выборе варианта 2 пользователь доверяет центру сертификации, предоставившему ваш сертификат, и может быть более уверен в том, что никакой атаки "человек посередине" не происходит.
Для некоторых целей может подойти ваш собственный самоподписанный сертификат. Не для какой-либо реальной электронной коммерции, хотя.