В чем разница между SSL-сертификаты сгенерил и я купить?

разница лишь в том, какой центр сертификации подписал Ваш сертификат - и, следовательно, ответ на "является то, что CA доверенным браузерами по умолчанию".

браузеры имеют набор сертификатов CA, которым они доверяют, чтобы подписать сертификаты. Если ваш CA не находится в том наборе, пользователь получает большое предупреждение fat.

больше ничего в SSL, включая шифрование, не изменилось - но это предупреждение достаточно опасно, что вы не можете запустить коммерческую службу без сертификата подписано одним из доверенных центров сертификации.

разница в том, что один, что вы покупаете из надежного источника.

Если вы создаете его самостоятельно, каждый посетитель должен зарегистрировать сертификат как доверенный в браузере.

чтобы изложить другие ответы, это помогает узнать, какие сертификаты служат цели и как они работают.

при выполнении определенных действий (чаще всего просмотр защищенных веб-страниц, т. е. HTTPS, или проверка законности файлов), компьютер должен проверить, является ли он надежным. Это делается путем проверки сертификата безопасности веб-сайта (или цифровой подписи файла). Он делает некоторые криптографические математику, но чтобы быть уверенным, что он не был подделан или подделаны, это в конечном счете, должен проверить с чужой.

Это делается путем проверки известного, надежного сервера (поэтому вы не можете делать такие проверки в автономном режиме, даже если он кэшируется). Система соединяется с центром сертификации внешнего сервера (CA) и проверяет, действителен ли сертификат (это должно знать, реально ли это вообще, и истекло ли это). Когда сертификат скомпрометирован, они должны аннулировать его, таким образом, необходимо быть в состоянии проверить, имеет ли сертификат просроченный.

теперь, когда вы используете самозаверяющий сертификат, вы не единственный, кто знает, действителен ли он. Это означает, что когда другие пользователи просматривают защищенный сайт или загружают файлы, они не могут использовать стандартные центры сертификации для проверки сертификата. Им нужно связаться с вашим сервером (что противоречит цели-что помешает хакерам подписывать вирусы и запускать свои собственные серверы сертификатов?). Чтобы избежать этого, вам нужно будет иметь все, кто должен использовать ваш сертификат установить его в их системы хранения сертификатов, и в доверенный корень CA магазин на это!

здесь есть две проблемы. Во-первых, он требует от людей вручную выполнять установку сертификата В (никто не беспокоит ничего, что требует от них ничего делать). Во-вторых, он требует, чтобы они выполняли страшные и расширенные действия безопасности, которые потенциально могут привести к проблемам (даже если они это сделают, в процессе есть достаточно предупреждений и флагов, которые они, вероятно, просто запустят прочь.)

таким образом, использование самозаверяющего сертификата допустимо в некоторых случаях, таких как домашняя сеть или другая локальная сеть, например, в лаборатории или офисе. Однако для Интернета в целом этого будет недостаточно, и вам нужно будет получить один, подписанный одним из больших центров сертификации (предпочтительно одним из тех, чей сертификат входит в состав Windows). К счастью, есть несколько на выбор, и они варьируются в цене от ура-я-могу-себе-это для что-я-Билл-Гейтс.

Рис. 1: импорт сертификата

Рисунок 2: большое, страшное предупреждение об импорте сертификата в доверенный корень CA