9

我们在 GlassFish 上有一个 Java EE 项目,其中包含一个我们希望通过 SSL 保护的登录屏幕。

在生产中使用自生成证书而不是从 CA 签名的证书有什么缺点?它会给最终用户带来警告和糟糕的体验吗?

4

1 回答 1

18

是的,浏览登录站点的用户每次都会在其浏览器中收到证书警告。

如果应用程序将仅在封闭的用户组中使用(例如在公司内),那么您可以通过将自签名证书添加到每个用户的可信证书集(在浏览器或操作系统级别)来缓解这种情况,视具体情况而定)。

但是,如果您的应用程序通常向广大公众开放,那么使用自签名证书被认为是不好的做法。您基本上是在教育您的用户忽略并接受浏览器警告,这通常是抵御中间人攻击的最后一道防线。这显然不是您想要的,因此在这种情况下,您应该始终使用“真实”证书,即使它只是一个暂存/测试部署。

于 2012-08-06T08:01:51.740 回答