假设您有一个需要SSL的网站,并且您拥有生产服务器,您拥有由Verisign或其他受信任机构颁发的通配符证书。 您还希望使用SSL在开发人员的计算机上本地运行它。
您是否会在开发人员的计算机上使用真实证书,或者您更愿意创建自签名证书?为什么?优点?缺点
我个人会创建一个通配符自签名证书,原因如下:
我想在服务器和浏览器之间加密自签名证书给我的信息。我没有证明自己是我自己。
如果生产证书受到损害并被新的证书取代,则不会以任何方式影响我的开发人员的机器。
如果我要使用真正的证书并将其替换为新证书,我可能需要几天时间才能收到新证书的副本 - 特别是在开发人员不是交易人员的大型组织中购买证书。
我不确定真正的证书是否有任何限制 - 例如,它可以安装多少台机器是否有限制?例如,如果有5台计算机的限制,并且许多开发人员想要使用它,则可以超出限制。使用自签名的,我不必担心。
关于这个问题,是否有任何正式的“最佳做法”?
你有什么想法?
答案 0 :(得分:3)
我同意你的看法。您未列出的主要原因是在两个地方使用相同的证书需要两个私钥副本,这是一个信息泄露和安全漏洞。
但请确保正确实施自签名证书,即将其导入相关客户端信任库。通过安装在此类问题的答案中经常出现的trust-all-certificates安全漏洞代码, NOT 。