我们在GlassFish上有一个Java EE项目,它包含一个我们想通过SSL保护的登录屏幕。
使用自生成证书而不是在生产中使用CA签名的证书有什么缺点?它会给最终用户发出警告和糟糕的经历吗?
答案 0 :(得分:12)
是的,浏览登录站点的用户每次都会在浏览器中收到证书警告。
如果应用程序仅在封闭的用户组中使用(比如说在公司内),那么您可以通过将自签名证书添加到每个用户的可信证书集(在浏览器中或在操作系统级别,取决于具体情况。)
但是,如果您的应用程序通常对广大公众开放,那么使用自签名证书被认为是不好的做法。您基本上是在教育您的用户忽略并接受浏览器警告,这通常是针对中间人攻击的最后一道防线。这显然不是你想要的,所以在这种情况下你应该总是使用“真正的”证书,即使它只是一个登台/测试部署。