Wir haben ein Java EE-Projekt auf GlassFish, das einen Anmeldebildschirm enthält, den wir durch SSL sichern möchten.Selbstsigniertes Zertifikat in Produktion
Welchen Nachteil hat die Verwendung eines selbst generierten Zertifikats anstelle eines von einer Zertifizierungsstelle in der Produktion signierten Zertifikats? Wird es dem Endverbraucher Warnungen und eine schlechte Erfahrung geben?
Ja, ein Benutzer, der die Anmeldeseite durchsucht, erhält jedes Mal eine Zertifikatwarnung in seinem Browser.
Wenn die Anwendung nur innerhalb einer geschlossenen Benutzergruppe (beispielsweise innerhalb eines Unternehmens) verwendet wird, können Sie dies mindern, indem Sie das selbstsignierte Zertifikat den vertrauenswürdigen Zertifikaten jedes Benutzers hinzufügen (entweder im Browser oder auf die Betriebssystemebene hängt von der jeweiligen Situation ab).
Aber wenn Ihre Anwendung in der Regel offen für die breite Öffentlichkeit ist, dann wird es als schlechte Praxis angesehen, selbst signierte Zertifikate zu verwenden. Sie informieren Ihre Benutzer im Grunde, die Browserwarnung zu ignorieren und zu akzeptieren, die normalerweise die letzte Verteidigungslinie gegen Man-in-the-Middle-Angriffe darstellt. Das ist eindeutig nicht das, was Sie wollen, also sollten Sie in diesem Fall immer ein "echtes" Zertifikat verwenden, auch wenn es sich nur um eine Bereitstellung für Staging/Test handelt.
Vielen Dank für Ihre Antwort – simhumileco
Vielen Dank für Ihre Frage – simhumileco