我有一些网站将用户登录重定向到https,一些用户在看到警告时感到害怕,因为它说该网站不可信或有人试图拦截他们的通信,所以大多数用户不继续登录程序。
事实是,我想避免支付大量从这些公司之一获得有效的证书,因为我不赚钱与这些网站,但我想保持用户的凭据安全。有办法避免这种情况吗?
如果我能拦截https重定向并显示一条消息给用户解释情况就足够了
一些被广泛接受的证书颁发机构为第一类证书提供免费的证书路径(该类证书不对证书所有者的身份进行断言,只表明它们控制了主题;实际上,很少有人真正检查SSL证书以进行身份验证,因此这很少是一个现实的问题(考虑到您的应用程序的非商业性质,在这种情况下可能根本不需要考虑)。
其中一个这样的认证机构(我自己过去使用过)是StartCom。
不,如果不使用由公认的CA认可的证书,您就无法隐藏消息。这是互联网安全的基本事实。
你能做的是,在消息出现之前,解释他们会看到警告。您可以告诉他们,事实上,如果CA被黑客攻击(这种情况已经发生了),而电子商务的其余部分受到损害,您的自签名证书并不容易受到攻击。
但是他们不会读冗长的解释。你能做的最好的事情就是让他们做好准备,告诉他们有一次他们必须相信你就是你所说的那个人。