2009-06-01 12 views
6

Quiero usar SSL (https) para asegurar la comunicación. ¿Es posible hacerlo sin comprar un certificado de algún tipo?¿Es posible usar https (servidor propio) sin pagar nada?

+1

Consulte http://stackoverflow.com/questions/34968/cheapest-ssl-certificates En resumen, puede obtener una certificación ampliamente aceptada de forma gratuita en startcom. – erickson

Respuesta

15

Puede usar un certificado autofirmado (google it) pero sus usuarios recibirán un mensaje que dice que el certificado no es válido. Sin embargo, el tráfico aún estará encriptado.

La razón por la que tiene que pagar a un tercero por un certificado SSL "válido" es que parte del propósito de un certificado SSL es verificar la autenticidad de su servidor. Si algún organismo pudiera emitir un certificado SSL con la información que deseaban, ¿qué podría impedirme configurar un certificado SSL utilizando la información de contacto de Walmart.com y engañar a los usuarios para que crean que mi sitio es una rama de walmart.com?

En resumen, puede obtener la parte de cifrado de forma gratuita, pero si desea evitar las advertencias de identidad del navegador, deberá pagar un certificado de un tercero.

+0

¡Muchas gracias! Supongo que me quedaré con uno pagado cuando entremos en producción, y auto firmaremos uno por ahora. – gernberg

6

Puede self sign a cert, o puede obtener uno de cacert.org o una comunidad de firmas gratuita relacionada. La mayoría de los navegadores lanzarán advertencias, por lo que no debería hacerlo para producción (si es un negocio electrónico), pero durante el desarrollo, o si no le importan las advertencias, es una alternativa barata

2

Como han dicho otros, puede usar de forma sencilla y fácil los certificados firmados o configurar su propia autoridad de certificación (CA) y luego emitir tantos certificados como desee. Todos estos certificados son tan válidos como los "comerciales" emitidos por las grandes CA, por lo que no hay diferencia técnica entre su certificado y el de, digamos, verisign.

La razón por la que la mayoría de los navegadores y otras aplicaciones cliente advierten sobre su certificado es que no lo saben y, por lo tanto, no confían en su CA. Los navegadores generalmente vienen con cientos de certificados CA conocidos en los que todos confían automáticamente (si eso es algo bueno, bueno ...), por lo que no recibirá una advertencia cuando visite amazon.com a través de HTTPS. En Firefox, puede ir a "Preferencias"> "Avanzado"> "Cifrado"> "Ver certificados" para ver qué CA o certificados individuales confía actualmente su navegador.

Al final, es una cuestión de en quién usted y los usuarios de su servicio confían. Si sus usuarios lo conocen y confían en usted (por ejemplo, en la red de la empresa o en un pequeño equipo de desarrollo), pueden agregar su certificado de CA a los certificados de confianza en su navegador. A partir de entonces, cada certificado emitido por su CA no generará ninguna advertencia y será confiable como cualquier otro certificado.

Cuestiones relacionadas