生产中的自签名证书

问题描述：

我们在GlassFish上有一个Java EE项目，其中包含我们希望通过SSL保护的登录屏幕。生产中的自签名证书

使用自生成的证书而不是生产中的CA签名的缺点是什么？它会给最终用户带来警告和糟糕体验吗？

谢谢你的问题 – simhumileco 2017-12-13 00:33:35

答

是的，浏览登录站点的用户每次都会在浏览器中收到证书警告。

如果应用程序只能在封闭的用户组中使用（比如在公司内部），那么您可以通过将自签名证书添加到每个用户的可信证书集（在浏览器中或在OS级别取决于具体情况）。

但是，如果您的应用程序通常向广大公众开放，那么使用自签名证书被认为是不好的做法。您基本上正在教育您的用户忽略并接受浏览器警告，这通常是针对中间人攻击的最后一道防线。这显然不是你想要的，所以在这种情况下，你应该总是使用“真正的”证书，即使它只是一个登台/测试部署。

谢谢你的回答 – simhumileco 2017-12-13 00:30:44