爲什麼SSL不能使用自己的CA來啓用Apache？

Question

我購買了一個域名。我設置了一個部署在Apache上的網站，該網站可以在我的域中訪問，目前使用http協議「端口80」。我現在想要爲SSL配置這個Apache服務器。我正在評估下面的2個選項。

選項1：我創建「證書籤名請求」（CSR），然後在充當CA的同時，基於CSR創建證書，然後將Apache配置爲在端口443上運行，我創建。選項2：我創建了CSR，我將我的CSR提交給像賽門鐵克這樣廣爲人知的CA，以獲得證書。然後，我將Apache配置爲使用Symantec提供的證書在端口443上運行。

選項＃1的缺點是什麼？

從最終用戶的角度來看，「訪問我的網站的人」，他們會有什麼跡象表明我使用了選項＃1？

使用選項＃1假設我無法讓最終用戶訪問我的網站以獲取綠色欄菜單，是否正確？

Answer 1

對於選項1，最終用戶沒有信心他們沒有被欺騙。由於您充當您自己的CA，最終用戶必須決定是否信任您。如果他們這樣做 - 他們可能會相信某人攔截了您的請求並使用了自己的證書。

使用選項2，用戶信任提供證書的CA，並且可以更加確信沒有發生中間人攻擊。

出於某種目的，您自己的自簽名證書可以沒事。雖然不是任何真正的電子商務。