Пытаюсь понять, как работают SSL-сертификаты. Правильно ли следующее:
У меня есть веб-сайт www.example.com и почтовый сервер mail.example.com. Веб-сайт является общедоступным и посещается многими людьми. Почтовый сервер предназначен только для небольшой группы людей, которых я знаю.
Я хотел бы добавить SSL как для Интернета, так и для почтового сервера. Насколько я понимаю, если я не куплю подстановочный сертификат, сертификат будет действителен только для www.example.com или mail.example.com, правильно? Я получу оплаченный сертификат SSL от надежной компании, и все мои посетители сайта будут счастливы.
Чтобы сэкономить деньги, я подумал о том, чтобы получить бесплатный или самоподписанный сертификат для почтового сервера. Насколько я понимаю, при первом доступе к почтовому серверу наши почтовые пользователи увидят предупреждающее сообщение о неизвестном сертификате. Но после того, как он был принят однажды компьютерами пользователей почты, будет ли какая-либо разница между этим бесплатным сертификатом и оплаченным сертификатом?
В некотором роде вопрос. В настоящее время я установил example.com в качестве псевдонима для www.example.com в apache conf. Так что, если кто-то обращается к example.com (без www), URL-адрес остается там, и мой сертификат для www.example.com будет недействительным, верно? Так что мне пришлось бы добавить правила перезаписи, чтобы изменить example.com на www.example.com, правильно?
Во-первых, ваше понимание этой части того, как SSL сертификаты работа правильная (SSL намного больше). Если вы покупаете шаблонный сертификат для * .example.com, вы можете использовать его для своих субдоменов.
Далее, бесплатный или самоподписанный сертификат поднимет красный флаг, если CA (центр сертификации, сертификат, который подписывает и проверяет ваш сертификат * .example.com) не пользуется доверием со стороны клиента, пытающегося получить к вам доступ. Они будут получать приглашение каждый раз при доступе, если только они не примут ЦС как доверенный. У большинства клиентов есть встроенный набор центров сертификации, которым они доверяют, поэтому организации платят большие деньги за сертификат, подписанный одним из этих центров сертификации, это форма проверки личности, которая является частью того, что все сертификаты. Хотя самоподписанный сертификат, безусловно, выполним, особенно если ваша клиентская база электронной почты небольшая, и вы можете сказать им, чтобы они пропустили проверку сертификата сервера на своих устройствах (если это сервер обмена или они будут получать доступ к электронной почте через активную синхронизацию, это пропуск проверка сертификата сервера должна быть выполнена на определенных мобильных устройствах), но, поскольку www является общедоступным, я бы посоветовал раздвоить тесто для реального сертификата, особенно если это для любого типа электронной коммерции, я был бы опасен совершать покупки на сайте с недействительным сертификатом лично. Надеюсь это поможет.