CA證書與自簽名證書的異同

這是翻譯文章，出處找不到了。

如果你想要構(gòu)建一個成功的網(wǎng)站，安全性是關(guān)鍵因素之一，對于需要從訪問者那里收集PIA（personally identifiable information，個人識別信息）的網(wǎng)站而言，尤其如此。
考慮一個需要輸入社會保險號的網(wǎng)站，或更常見的，需要向其添加信用卡信息以完成購買行為的電子商務(wù)網(wǎng)站，在這樣的網(wǎng)站上，安全不僅僅是來自那些訪問者的期望，更是成功的關(guān)鍵。
如果你正在構(gòu)建一個電子商務(wù)網(wǎng)站，首先就需要一個安全證書以便保證服務(wù)器的數(shù)據(jù)安全，對于證書的選擇，即可以創(chuàng)建自簽名證書，也可以從證書頒發(fā)機(jī)構(gòu)（CA）獲得由其簽名的證書，讓我們看看這兩種證書的異同。

CA簽名的證書和自簽名證書的相似性
無論你的證書是由CA簽名的，還是自己簽名的，有一件事是完全相同的：你會得到一個安全的網(wǎng)站。通過HTTPS/SSL連接發(fā)送的數(shù)據(jù)將被加密，第三方無法竊聽。
既然自簽名證書也能做到這一點，那為何要向CA付款呢？
CA告訴你的客戶：此服務(wù)器信息已由“信任源點”驗證，最常用的CA是Verisign。CA會驗證你的域名的所有權(quán)并頒發(fā)證書，這就能保證網(wǎng)站是安全而且合法的。
使用自簽名證書的問題是，幾乎每一個Web瀏覽器都會檢查HTTPS連接是否由可信的CA簽名，如果該連接是自簽名的，則會將其標(biāo)記為潛在風(fēng)險并彈出錯誤消息，你的客戶對該站點信任度就會降低。

簡要總結(jié)：CA簽名的證書兼具身份證明和加密雙重功能，而由于自證身份不可信，自簽名證書就只有加密功能，用于無需身份證明的場合。

在何種情況下可以使用自簽名證書？

由于它們提供了相同的保護(hù)能力，所以能在任何使用CA簽名證書的場合中使用自簽名證書，但某些場合特別適用，比如測試HTTPS服務(wù)器，你不必僅僅為了測試網(wǎng)站就要支付CA簽名證書的費用，只需提醒測試人員他們的瀏覽器可能彈出警告信息。
也可以在需要輸入隱私信息的情況下使用自簽名證書，例如：
●用戶名和密碼表單
●收集個人（非財務(wù)）信息
當(dāng)然，只有那些了解并信任你的人才會使用這樣的網(wǎng)站。
所以你看到了，歸根結(jié)底就是“信任”二字。當(dāng)你使用自簽名證書時，你是在對客戶說：“請相信我——我就是我說的我”；當(dāng)你使用由CA簽名的證書時，你是在說：“請相信我——Verisign可以證明我的身份”。
如果你在做電子商務(wù)，就需要一個CA簽名證書。
如果你使用自簽名證書只是為了客戶登錄你的網(wǎng)站，那么他們可能會原諒你，但如果要求他們輸入信用卡或Paypal的信息，那么你真的需要一個CA簽名的證書，因為大多數(shù)人信任CA簽名的證書，如果沒有它，就不會通過HTTPS服務(wù)器做生意。所以如果你想在你的網(wǎng)站上賣東西，那就投資于證書吧，這只是做生意的成本。