6
Je souhaite utiliser SSL (https) pour sécuriser la communication. Est-il possible de le faire sans acheter un certificat quelconque?Est-il possible d'utiliser https (own-server) sans rien payer?
A
Répondre
15
Vous pouvez utiliser un certificat auto-signé (google it) mais vos utilisateurs recevront un message indiquant que le certificat n'est pas valide. Le trafic sera toujours crypté, cependant.
La raison pour laquelle vous devez payer un tiers pour un certificat SSL « valide » est cette partie de l'objet d'un certificat SSL est de vérifier l'authenticité de votre serveur. Si un organisme pouvait émettre un certificat SSL avec les informations qu'il souhaitait, qu'est-ce qui m'empêcherait de configurer un certificat SSL en utilisant les coordonnées de Walmart.com et de faire croire aux utilisateurs que mon site est une branche de walmart.com?
En bref, vous pouvez obtenir la partie de chiffrement gratuit, mais si vous voulez éviter les avertissements d'identité du navigateur, vous devrez payer pour un tiers cert.
+0
Merci beaucoup! Je suppose que je m'en tiendrai à un paiement quand nous entrerons en production, et nous en signerons un pour l'instant. – gernberg
6
Vous pouvez self sign a cert ou en obtenir un de cacert.org ou une communauté de signataires associée. La plupart des navigateurs émettent des avertissements, donc vous ne devriez pas le faire pour la production (si vous êtes un ebusiness), mais pendant le développement, ou si vous ne vous souciez pas des avertissements, c'est une alternative bon marché
2
Comme d'autres l'ont dit, vous pouvez simplement et facilement utiliser des certificats auto-signés ou créer votre propre autorité de certification (CA) et délivre ensuite autant de certificats que vous le souhaitez. Tous ces certificats sont aussi valables que les certificats "commerciaux" émis par les grandes CA, il n'y a donc pas de différence technique entre votre certificat et celui de, disons, verisign.
La raison pour laquelle la plupart des navigateurs et autres applications clientes mettent en garde au sujet de votre certificat est, qu'ils ne savent pas et donc pas faire confiance à votre CA. Les navigateurs viennent généralement avec des centaines de certificats de CA bien connus, tout le monde fait automatiquement confiance (si c'est une bonne chose, eh bien ...), de sorte que vous n'obtenez pas d'avertissement lorsque vous visitez amazon.com via HTTPS. Dans Firefox, vous pouvez aller dans "Préférences"> "Avancé"> "Cryptage"> "Afficher les certificats" pour voir les autorités de certification ou les certificats auxquels votre navigateur fait actuellement confiance. En fin de compte, il s'agit de savoir à qui vous et les utilisateurs de votre service font confiance. Si vos utilisateurs vous connaissent et vous font confiance (disons dans le réseau de l'entreprise ou dans une petite équipe de développement), ils peuvent ajouter le certificat de votre autorité de certification aux certificats de confiance dans leur navigateur. À partir de ce moment, tous les certificats émis par votre propre autorité de certification ne généreront aucun avertissement et seront approuvés comme tous les autres certificats.
Questions connexes
- 1. HTTPS vs HTTP Détection sur le serveur renvoyant rien d'utile
- 2. Haskell IO « ne rien faire », ou si, sans autre
- 3. Comment convertir HTML en RTF (Rich Text) dans .NET sans payer pour un composant?
- 4. Git SVN ne récupère rien occasionnellement
- 5. Déclaration PDO ne fait rien?
- 6. rien restful_authentication apparaît
- 7. Pourquoi Me.components Rien?
- 8. Invalidate ne fait rien
- 9. Access.Application.CurrentDb est rien?
- 10. NSCollectionView ne dessine rien
- 11. Valeur ASCII pour rien
- 12. HTTPS sur iPhone
- 13. C# -Sorting XML elements -Possible? (Sans ADO.NET)
- 14. Rembourrage dans NSTextView - possible sans dessin personnalisé?
- 15. Rien de la propriété TagKey()
- 16. Connexion HTTPS
- 17. Répondre pour que le navigateur ne fasse rien - est-ce possible?
- 18. Est-il possible d'avoir un TextView sans clavier?
- 19. Sessions WCF avec HTTPS
- 20. mixte site: http/https
- 21. Pourquoi sprintf() ne génère rien?
- 22. Déclaration préparée ne retournant rien
- 23. avertissement: déclaration ne déclare rien
- 24. Comment utiliser HTTPS avec NSURLConnection?
- 25. Comment supprimer des éléments d'une liste déroulante ASP.NET sans rien connaître au contenu
- 26. Comment tester ce test si un chemin est (ou non) inscriptible sans écrire rien dans ce
- 27. Comment faire php5 sur une machine exécutant php4, sans rien casser
- 28. Comment compiler pour l'appareil sans certificat?
- 29. UITabBarController s'initialise avec rien de sélectionné
- 30. HTTPS C# POST 302 Moved
Voir http://stackoverflow.com/questions/34968/cheapest-ssl-certificates En bref, vous pouvez obtenir un cert largement accepté gratuitement à partir StartCom. – erickson