我可以在不同的 HTTPS 服务器上使用自签名 X.509 证书吗？

Question

我已在 server1 上使用 Selssl7.exe 创建了 SSL 证书，但使用 Cn 作为 Server2 并将证书托管在 server2 上。从 linux firefox 浏览时，我开始收到证书错误：

此证书无效，该证书不受信任并且是自签名的，该证书仅对 server1 有效

但是当我从 Windows IE 浏览 URL 时，我只是收到常规错误，指出它不受信任，我可以轻松地将其添加到例外中。

我们可以在不同的服务器上使用 server1 上生成的自签名证书吗？

Answer 1

你可以，你也可以，但这样做几乎会破坏真实性的每一个方面。

自签名证书通常会出现问题，因为其他用户不会提前知道该证书。因此他们的浏览器尽职尽责地发出警告。这就是为什么您必须为可识别的 TLS 证书付费 - 它们由 CA 颁发，其证书包含在您浏览器的默认信任存储中。 CA 必须付费才能“成为俱乐部的一部分”，但除此之外，任何人都可以创建证书。这只是默认设置被识别的问题。

但是，通过在不同的服务器上重复使用为专用服务器颁发的证书，您会打开另一个漏洞。 TLS 证书的主题专有名称必须与部署它们的服务器的主机名相匹配。这是 TLS 规范强制要求的，因为这是使用 TLS 时防止中间人攻击的唯一有效措施。打开与服务器的 TLS 连接后，您的代码将检查您连接的主机名是否与发送的服务器证书的主题 DN 匹配。只有这样，您才能确保与正确的服务器通信。

因此，总而言之，如果您在不同的主机上重复使用服务器证书，则会严重影响 TLS 的安全性。当然，这仍然是可能的，但如果您将安全性削弱到这种程度，那么您最好首先使用纯 HTTP。