我有一个托管在 Heroku 上的 Rails 应用程序,它在自己的自定义域上运行。为了提供更高的安全性,我启用了该设置force_ssl,因此所有流量都是 HTTPS。但是,对于自定义域,浏览器会显示有关不受信任网站的证书警告。
我可以通过购买证书并在 Heroku 上启用 SSL 端点插件来解决这个问题。然而,这需要花钱,附加组件本身是每月 20 美元。该应用程序适用于我公司中有限的受控用户组,因此我认为不需要付费证书。我在这里有什么选择?是否可以自己创建证书并将其提供给所有用户以添加到他们的浏览器中?
一个不错的选择是使用自签名 SSL 证书,但 Heroku 在其堆栈上不支持该证书。
您可以指示您的用户通过appname.herokuapp.com始终启用 SSL(通过 Heroku 的该域的通配符 SSL)访问您的应用程序,并且无需额外费用。
唯一的其他选择是每月 20 美元为您的域购买适当的 SSL 证书。
虽然浏览器显示警告,但实际上连接仍然是 SSL。警告意味着在这种情况下使用的证书与域不匹配,因此向用户发出警告,说明某些事情不太正确。如果它是一组受控用户,那么我认为只要您告诉他们这一点,就不应该如此震惊,他们可以安全地点击。
那,或者可能恢复到您的应用程序将拥有的 *.herokuapp.com 域,该域将与 Heroku 已经安装的通配符 SSL 证书一起使用。
这些选项中的任何一个(对我来说)似乎都比担心自签名证书并让您的用户安装它要少得多
....或购买实际证书并每月支付 20 美元。