嵌入式网络服务器和证书

Question

我有一个带有嵌入式网络服务器的应用程序。 该网络服务器现在可以通过 OpenSSL 包执行 SSL :)

现在讨论证书问题。 这个应用程序已售出，我这么说是因为它不仅仅位于我拥有的服务器上，它还安装在数千台计算机上。 我希望我的客户安全，因此我希望他们尽可能轻松地使用 SSL。 现在我们创建自己的 CA，然后创建自签名证书。 这意味着我们所有的客户（及其用户）都需要安装其自定义的、特定于安装的 CA，或者接受来自证书的不可信根警告，这两种方式都没有吸引力。

如何解决这个问题？

我们要么需要：

1. 使安装我们的 CA 变得非常简单（浏览器故意让安装变得非常困难——有很多吓人的警告对话框）
2. 以某种方式让所有这些客户证书都由浏览器认可的 CA 合法签名。
3. 强迫客户去购买自己的证书并安装它

我不知道我们将如何做#1，所以我们正在考虑#2。 #3 几乎是不可能的。

我们突然想到，我们可以购买一个 SSL 证书，并将其与我们的产品一起提供 - 是的，每个人都使用相同的证书，并且证书和私钥可能会泄漏到公共领域......嗯。 .. 出于责任的原因，可能不希望我们的名字出现在上面...

我想问题是我们首先就违背了 CA 的目的。 关于如何让用户变得简单、安全，有什么想法吗？ （假设中间人攻击不是一个问题——有没有真正记录过？）

Answer 1

对此没有简单的解决方案。 如果这个问题很容易解决，那么 SSL 证书系统的安全性就会很差。

正如您所说，您对于如何避免浏览器警告的选择是有限的。 每种方法可能都很好，具体取决于应用程序。

1. 在客户端浏览器上安装根 CA

如果应用程序在内部使用或者客户端需要安装某些内容来使用该应用程序，那么这是一个合理的解决方案。 这可能也是成本最低的解决方案，因为不需要额外的费用。 但是，如果该应用程序要供广大人群使用，那么这不是一个合理的解决方案。

2. 购买商业根 CA 签名证书

如果您的应用程序向互联网开放，这很可能是必需的。 但是，如果您销售应用程序而不是简单地提供其服务，那么出于您提到的责任原因，这可能并不好。

3. 让客户购买他们自己的商业根 CA 签名证书

如果您的应用程序被出售以供客户使用，这可能是合理的。 您可以使用自签名证书作为基本选项来提供应用程序，并让您的客户根据需要使用他们的证书。 许多公司的网站已经拥有 SSL 证书。