我正在建造一个基本上是分散的亚马逊的网站。
基本上,每个卖家在他们自己的IP地址上托管该网站的副本,并使用我为此目的制作的自托管比特币钱包(https://github.com/tchoulihan/bitmerchant)接受(比特币)付款。
我的困难是:我不想强迫这些节点中的每一个购买他们自己的ssl,但我仍然需要加密请求。自签名证书会适用于这种情况吗?
如果它们不起作用,我有什么选择?
编辑:这是面向前端的网站,IE浏览器ssl。
答案 0 :(得分:1)
我不想强迫这些节点中的每一个购买自己的ssl
为什么不呢? StartSSL是至少一个为免费 ...
提供签名证书的提供商你所做的任何其他选择都只是试图重新发明SSL(而且最好不好)。
只需使用SSL即可完成。
答案 1 :(得分:1)
我的困难是:我不想强迫这些节点中的每一个购买他们自己的ssl,但我仍然需要加密请求。
加入一个根程序,就像[正式称为] GeoRoot一样。这些根程序允许您成为从属CA,因此您可以为具有管理控制权的域和子域颁发证书。
或者,将您的用户指向CAcert或StartSSL。两者都免费发放Class 1终端实体证书。大多数桌面和移动浏览器都信任他们的证书。他们收取撤销费用,因为这是成本所在。
自签名证书会适用于这种情况吗?
没有。浏览器违反了自签名证书。
相关的,发布到组织的这些从属根的浏览器。问题是CA通常会在没有名称限制的情况下对组织下属进行认证。独立的第三方审核员被移除(RA),并且未使用免费的安全控制(名称限制)。因此,像您这样的组织可以为任何域颁发证书,而不仅仅是您管理的域。 (想到“囚犯正在逃避庇护”)。
此类CA的一个示例是GeoTrust。发给组织的无约束下属的示例是Google Internet Authority G2。
关于Information Security Stack Exchange的相关问题:Should name constraints be present on a subordinate CA issued to an organization?
IETF在PKIX工作组中的地位(不好主意):How to handle organizational subordinate CA's when I want to stop the flow of trust?。
IETF在DBOUND工作组中的地位(不好主意):Another use case to consider....
只有CA和浏览器认为发给组织的无约束的下属CA是个好主意。