V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
stx0821
V2EX  ›  问与答

在 Ip 地址网站上使用 https 自签名证书,可以像 https 域名那样增加安全性吗

  •  
  •   stx0821 · 2023-05-25 09:35:42 +08:00 · 2478 次点击
    这是一个创建于 583 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如果可以的话,那为什么浏览器还会报不安全呢。 如果不可以的话,但是甲方又强烈要求用 Ip 地址 https 证书增加安全性

    15 条回复    2023-05-26 14:18:36 +08:00
    renfei
        1
    renfei  
       2023-05-25 09:42:25 +08:00
    可以是可以,问题就出现在 自签名 上。

    假如你网站是 1.1.1.1 ,你自签名了一个证书,没人能证明你是合法的 CA 机构,那用户只能被迫点击 继续浏览。

    此时,我黑进你们的网络,修改路由表,将 1.1.1.1 路由到我的服务器上,我也自签名了一个证书。

    此时,用户如何分辨,你签名的证书 还是 我签名的证书,咱俩都不是可信的 CA 机构,没有在信任列表里。

    问题是出现在这,而不是安全加密,加密是加密的,但你怎么证明你是你?需要第三方可信 CA 才能给你证明你是你。
    olaloong
        2
    olaloong  
       2023-05-25 09:43:49 +08:00
    不安全的是自签名证书
    有 IP SSL 证书,买就是了
    tony1016
        3
    tony1016  
       2023-05-25 09:53:08 +08:00
    可以,加密是一样的
    ruixue
        4
    ruixue  
       2023-05-25 09:57:23 +08:00
    域名证书用自签名也会报不安全

    zerossl 有免费三个月的 ip 证书
    Tink
        5
    Tink  
       2023-05-25 11:04:28 +08:00
    一样的
    IvanLi127
        6
    IvanLi127  
       2023-05-25 11:17:41 +08:00 via Android
    单论证书保护的对象,不论谁签的,都能提升相同档次的安全性。 自签的问题是浏览器不知道自签的 CA 该不该信,所以报不安全。在互联网上,冒名顶替就是不安全。
    systemcall
        7
    systemcall  
       2023-05-25 11:21:56 +08:00 via Android
    可以,但是你自签的 CA 需要用可靠的渠道分发,并且需要让用户能够去检查
    要是是自己写的程序就好弄一些,golang 之类的都可以在单个程序中用自签证书,安卓下可以让用户安装用户证书,iOS 不清楚,Windows 下随便搞
    busier
        8
    busier  
       2023-05-25 12:58:38 +08:00
    客户端手动信任自签证书就可以了!没啥特别的!
    yinmin
        9
    yinmin  
       2023-05-25 13:06:10 +08:00
    @stx0821 能买到 ip 地址的合法 SSL 证书的,甲方要求就去买一个呗。
    huijiewei
        10
    huijiewei  
       2023-05-25 15:24:21 +08:00
    通讯是安全的,但是无法证明李逵不是李鬼
    brader
        11
    brader  
       2023-05-25 15:33:53 +08:00
    可以增加安全性,浏览器报不安全,是因为浏览器不认识你这位自签机构,或者说不承认你。
    但是你自己知道自己是个“好人”,所以你们内部人员自己用,没有问题的,也是拥有了 ssl 保护
    flynaj
        12
    flynaj  
       2023-05-25 18:29:37 +08:00 via Android
    自签的都会报不安全,调试用的,正式还是要买证书。也有免费的 zerossl
    Andim
        13
    Andim  
       2023-05-25 18:35:19 +08:00 via iPhone
    如果自由你自己用 自签名算法复杂点 是最安全的 浏览器认证是因为大多数网站是公众使用
    msg7086
        14
    msg7086  
       2023-05-25 20:11:00 +08:00
    ZeroSSL 的免费域名证书好像是支持 IP 地址的,你试过了吗?
    imgoodman
        15
    imgoodman  
       2023-05-26 14:18:36 +08:00
    企业可以预装 ca
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2771 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:03 · PVG 18:03 · LAX 02:03 · JFK 05:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.