SSL的默认蛇油证书是真正的蛇油，而不是真正的诚实至善证书吗？[关闭]

SSL默认情况下会生成自签名的“蛇油”证书，例如在/etc/ssl/certs/ssl-cert-snakeoil.pem。根据维基百科，蛇油是一种被认为是欺诈或伪造的加密方法或产品。这些证书有什么伪造的吗？当然，它们没有由任何已知的证书颁发机构签名，但是证书本身仍然可以像其他证书一样是真正的证书。例如，我可能亲自亲自将服务器的公共密钥分发给所有客户端。以此为前提，生成的证书是否值得使用蛇油，还是名称具有误导性？

记住SSL具有两个非常重要的功能

1. 安全通讯
2. 信任

任何自行生成的SSL证书都会为您提供1.允许加密流量或您所说的有效SSL证书。

但是，自行生成的SSL证书只能将信任授予给信任您的人。受信任的第三方生成SSL证书的原因是提供数字2。您的浏览器信任它们，并且他们信任您。如果您自己生成它，那么您可以声称自己是www.microsoft.com，如果有人信任您，那么它将是。

另外，正如评论中指出的那样，这就是为什么您不应该信任某人对其服务器的自签名证书，因为您的浏览器显然会信任该服务器所签名的任何将来的证书。

这就是为什么自产的是蛇油证书。

更新：LetsEncrypt服务与诸如Caddy之类的现代Web服务器相结合，几乎消除了获取和使用TLS证书的所有困难，因此不再需要蛇油证书！

自签名证书会像标准证书一样对您的通信进行加密。因此，加密不是问题。

证书也可以用于验证身份。它的工作原理是，当您安全地连接到服务器时，该服务器向您或您的浏览器提供其证书，然后由您或您的浏览器决定是否可以信任服务器的身份声明。

证书可以由其他“高级”证书（通常称为证书颁发机构）签名。因此，如果服务器证书由您或浏览器信任的CA签名，则该身份被视为有效。

大多数主流浏览器都带有许多它们自动信任的，来自Verisign和其他知名CA的根证书。

使用自签名证书，由于它不是由第三方CA签名的，而是由创建证书的同一实体签名的，因此除了生成证书的人之外，您不能依靠任何其他人来验证身份。这相当于有人打印自己的身份证并将其交给您以验证身份。尽管您知道/信任谁生成了证书或自己创建了证书，但是尽管浏览器发出了警告，但这也不一定是问题。

维基百科还说：“蛇油最初是指欺诈性保健产品或未经证实的药物，但现在已提及任何质量或收益可疑或无法验证的产品。”

在这种情况下，不可验证的质量至关重要。如果您浏览的SSL站点没有到受信任的证书颁发机构的证书链，则您不能依靠SSL来验证该站点是否由拥有域的个人或组织拥有和运营（如您的域中所显示）浏览器的网址栏）。

现代Web浏览器在浏览带有自签名（“蛇油”）证书的网站时会显示安全警告，因为它们缺少此受信任的证书链。例如，在私有Intranet上这可能很烦人，但是它确实在某种程度上保护了人们免于将其私有数据和付款信息输入到网络钓鱼站点中。