在这种情况下，自签名证书更好吗？ [关闭]

Question

我有一个通过 HTTP Post 与集成应用程序通信的服务器应用程序，我想加密该通信线路。
两个应用程序可能在同一台服务器机器上或不同机器上。
它们都是winform应用程序，所以我们这里根本不是在谈论IIS或网站。

我对两端都有控制权，这意味着只有集成软件使用服务器颁发的这个 SSL 证书，没有其他参与方。

通过研究，我在购买 VeriSign 证书而不是自签名时提出了以下缺点/优点。

专业版：

1. 更好的安全性（从 40 位到 2048 位加密）
2. 受信任的权威
3. 具有防止网络钓鱼的功能
4. 高保证证书（域名和企业名称）
5. 适用于 ISO 合规目的。

缺点：

1. 成本、成本和更多成本
2. 很多功能是特定于网络的，不适用于我。
3. 如果我的服务器/客户端没有连接到 Internet，而是在 LAN 中，则无用。由于 VeriSign 无法正确验证证书。

在我的情况下，我已经知道并相信谁在另一端向我发送消息（我自己），所以我真的觉得不需要购买证书。您是否看到任何明显的反驳论点或 VeriSign 证书中发现的任何特定功能会说服我不这样做？请让我知道，我很感激任何意见。

Answer 1

我看不出有任何理由为这样的事情使用正确的签名证书。如果您可以访问通信的两端，您也可以将证书添加为客户端上唯一受信任的证书。这样一来，中间人攻击就需要真正破解客户端的软件，在这种情况下，拥有签名证书也没有多大用处。

换句话说。为签名证书付费的主要原因是建立初始信任。但是由于您可以访问客户端的软件，因此您可以告诉客户端只信任您的自签名证书。

如果您无权告诉客户信任什么证书，购买签名证书可能是个好主意。

您关于提高已验证证书安全性的观点 (1) 是错误的。您可以根据需要创建自己的加密证书。