HTTP 加密，无需身份验证

Question

我想分发一个小型应用程序，该应用程序提供供本地使用的 Web 界面。因此，它只会绑定到环回，但有人可能希望在虚拟或真实网络接口上使用它。

至少到那时，产生的流量就会受到窃听。

我想我不能让用户承担生成和安装 HTTPS 证书/密钥的工作，所以我的问题：是否有一种方法可以在服务器端没有此类证书/密钥的情况下与标准浏览器建立加密连接，放弃来自服务器身份验证？

Answer 1

如果没有 SSL 和证书，您将必须构建自己的身份验证和加密协议，这并非易事。可以在您的 Web 服务器上使用自签名 SSL 证书，以便您可以使用您想要的任何域名，问题是它要求每个客户端信任该证书（通过将其导入到计算机中）。在企业环境中，还有 IPSec 保护所有流量。

Answer 2

您可以购买主机名或 IP 地址的 SSL 证书并在本地使用。