我们使用Spring Boot构建了Web API。它目前部署在AWS Elastic Beanstalk上。 HTTPS使用自签名证书进行开发和测试。我们计划很快上线,所以可能需要从证书颁发机构获得公共证书。
Amazon拥有证书管理器,这是获取部署在Elastic Beanstalk上的应用程序证书的最简单方法。但是,它需要在服务器端设置一些DNS,这意味着您必须拥有该域。我还看了一个流行的免费CA,Letsencrypt。但它也需要域验证。我们还没有域名。 API仍然使用来自Beanstalk环境的长URL,例如my-app.us-east-2.elasticbeanstalk.com。我想知道是否有任何网站可以下载域独立证书,可以用于没有域名的Beanstalk Web应用程序?
答案 0 :(得分:6)
如果有人可以获得他不拥有的域名的证书,他就可以冒充该域名,例如在中间人攻击中。这实际上会破坏HTTPS的安全性,因为如果您不使用真实服务器进行加密,而是使用攻击者拥有的服务器进行加密,加密将无助于保护您的数据。
这就是没有域独立证书的原因。这就是为什么你不能为你无法控制的域获得证书的原因。