Почему бы нам не использовать самоподписанные сертификаты SSL в производстве? [закрыто]
Здесь сказано не делать этого:
https://www.digitalocean.com/community/tutorials/how-to-set-up-a-postfix-e-mail-server-with-dovecot
У меня вопрос: почему бы и нет?
Еще один вопрос: как сделать так, чтобы сертификат был доступен для чтения только пользователю root?
1 ответ
Сертификаты являются средством установления доверия. Существует много сертификатов, подписывая полномочия, которым доверяют браузеры и другие инструменты, которые используют сертификаты SSL/TLS. Когда делание зашифрованного соединения, они проверяют, что обеспечить сертификат был подписан доверяемым сертификатом.
А самоподписал сертификат, не подписывается доверяемым подписывающим лицом и будет недоверяем. Много инструментов спросят, хотите ли Вы принять сертификат так или иначе. Обучающие люди для принятия таких сертификатов, листы их открытый для человека в средних нападениях.
, Если Вы не хотите получать сертификат от доверенного центра сертификации, можно создать собственный центр сертификации (CA). Однако необходимо будет распределить Вас общедоступный сертификат CA Вашим клиентам и заставить их устанавливать его в соответствующей базе (базах) доверенных сертификатов.
существуют случаи, такие как VPNs, где можно хотеть иметь собственную CA. Services как IMAP, POP, и HTTP редко является такими случаями.