在这种情况下，自签名证书更好吗？

Question

我有一个服务器应用程序通过HTTP Post与集成应用程序通信，我想加密该通信线路 这两个应用程序可能位于同一台服务器上，也可能位于不同的机器上 它们都是winform应用程序，因此我们根本不在谈论IIS或网站。

我可以控制两端，这意味着只有集成软件使用服务器发出的SSL证书，而不是其他相关方。

通过研究，当我购买VeriSign证书而不是自我签名时，我想出了以下缺点。

临

1. 更好的安全性（范围40位到2048位加密）
2. 受信任的权限
3. 具有防止网上诱骗的功能
4. 高保证书（域名和商家名称）
5. 适合ISO合规目的。

Con：

1. 成本，成本和更高的成本
2. 许多功能都是特定于网络的，不适用于我。
3. 如果我的服务器/客户端未连接到Internet但在LAN中，则无用。由于证书无法通过VeriSign正确验证。

就我而言，我已经知道＆amp;信任谁在另一端向我发送信息（我自己），所以我真的觉得不需要购买证书。您是否看到任何明显的反驳论证或VeriSign证书中的任何特定功能会说服我做其他事情？请让我知道，我感谢任何投入。

Answer 1

我没有看到任何使用正确签名证书的理由。如果您可以访问通信的两端，则只需将证书添加为客户端上唯一可信的证书。这样，中间人攻击需要实际攻击客户端的软件，在这种情况下，拥有签名证书也不会有太大用处。

换句话说。支付签名证书的主要原因是建立初始信任。但是，由于您可以访问客户端软件，因此您可以告诉客户端只信任您的自签名证书。

如果您无权告诉客户要信任哪种证书，购买签名证书可能是个好主意。

关于验证证书的更好安全性的观点（1）是错误的。您可以根据需要使用高加密创建自己的证书。