为什么Web服务器的公钥证书必须由证书颁发机构签名?

换句话说,没有从证书权威人士(从用户的angular度)签署公钥证书的安全风险是什么? 我的意思是,数据仍然是encryption的…中间的一个人可以用一个没有签名的证书吗?

与HTTP一起使用时,SSL的目的不仅仅是为了encryptionstream量,而且是为了validation网站所有者是谁,还有人愿意投入时间和金钱来certificate其域名的真实性和所有权。

这就像是购买一种关系,而不仅仅是encryption,而且这种关系灌输或者假定了一定程度的信任。

也就是说,几个月前我也提过一个类似的问题 ,回头的基本答案是“SSL是一个骗局”

想象一下,您要向一个名叫约翰·史密斯(John Smith)的人提供100万美元,而这个人从来没有见过或者与之交stream过。 你被告知你可以在拥挤的公共场所见到他。 当你去见他时,你需要一些方法来确定他实际上是你正在寻找的人,而不是一些自称是约翰·史密斯的随机的人。 你可能会要求一些政府的身份证,一张名片。 你可能会问一个你信任的人,他确实遇到了约翰·史密斯(John Smith)的帮助。

自签名证书唯一标识一个系统,但它没有做任何事情来certificate系统是它自称的系统。 我可以轻松地自签名证书,声称是serverfault.com,google.com或yourbank.com。 证书颁发机构基本上充当客户信任的第三方来validation证书实际上对网站声称拥有的名称有效。

SSL业务的确是一个骗局。 实际上,当你为每个字节支付大约20p的密码数据时, 您付出的代价是您使用哪个CA用自己的私钥之一签署证书,然后certificate自己确实有权使用该证书所用的域名/主机名称。 正如Farseeker所说,这是一种信任关系 – CA信任你(在他们审核了你之后),世界上的Web浏览器信任CA(通常),因此世界的Web浏览器会信任你的证书。 不要让我开始关于扩展validation…