Обычная установка HTTPS требует сертификата, подписанного каким-то авторитетным центром, и требует [ежемесячной] платы и периодического обслуживания (во избежание истечения срока действия). Таким образом, Firefox отображает счастливый зеленый значок, что сертификат в порядке, и пользователи знают, что он подключается к серверу, по крайней мере, управляемому кем-то достаточно богатым, чтобы позволить себе сертификат.
Простая настройка HTTPS основана на самозаверяющем сертификате (или на каком-то временном «рекламном предложении» какого-то второстепенного центра сертификации). При подключении к этому серверу Firefox почти всегда показывает большое предупреждение, которое может напугать пользователей и снизить удобство использования сайта. Таким образом, самый простой способ решить эту проблему - просто игнорировать безопасность и вернуться к простому незашифрованному протоколу HTTP.
Как сделать так, чтобы трафик из Firefox был зашифрован (хотя бы от пассивного сниффинга), но не настолько высокого уровня безопасности, который требует третьих лиц? Что-то вроде OpenSSH.
Если вы заинтересованы в том, чтобы мировое интернет-сообщество не получало предупреждения, тогда вам в значительной степени не повезло. У вас должен быть сертификат SSL от центра сертификации, о котором знает Firefox, иначе люди получат это приглашение. Вы можете получить очень недорогие SSL-сертификаты от центров сертификации, на доверие которым Firefox уже настроен из коробки.
Если у вас меньшее сообщество людей, с которыми вы работаете, вы можете создать свои собственные сертификаты SSL и настроить свой собственный центр сертификации для их проверки. Однако при этом у вас должна быть возможность для всех ваших пользователей добавить ваш центр сертификации в качестве доверенного центра сертификации в Firefox, чтобы он проверил ваш сертификат и выдал им счастливый зеленый значок, к которому вы стремитесь.
StartSSL предоставляет бесплатные сертификаты, подтвержденные сообществом, это может быть интересно для вас. Зеленый значок можно получить только в рамках расширенной проверки, которая не бесплатна.
SSL по-прежнему защищен от пассивного прослушивания даже с ненадежными сертификатами.
Если он предназначен для вашего собственного использования, можно создать собственный центр сертификации. Знающие люди не согласятся включать ваш самодельный CA в свой браузер - это позволяет вам выдавать им себя за любой веб-сайт SSL, если вы являетесь человеком в середине.
Я работаю в высшем учебном заведении в США. Если вы работаете в соответствующем учреждении (IANAL, не спрашивайте меня), вы можете получить действительный двухлетний сертификат в испанском центре сертификации. ipsCA. Если вы перейдете по этой ссылке, то увидите, что это намеренно крошечный шрифт. Мы использовали его в нашем учреждении для некоторых хозяйственных ящиков, но я не уверен, что он пошел в производственные службы AFAIK.
Это не значит, что у него нет своей доли проблем. Нам пришлось отключить проверку OCSP для некоторых людей в нашей группе, потому что браузер очень долго терял время ожидания для этого сертификата. Мы не могли понять, почему, гораздо позже, а затем таймауты перестали быть проблемой. Статус ошибки не дает понять, будет ли она решена в будущем. Но эй, бесплатно это бесплатно.
редактировать: Я не могу разместить более одной ссылки, потому что я слишком неопытен, чтобы справиться с этим сайтом, согласно забавному сообщению об ошибке. Найдите ошибку Firefox 529286 и OCSP в вики Mozilla, чтобы понять, о чем я говорю.
Если вы зарегистрируетесь с StartCom, вы можете получить бесплатный сертификат SSL, который принимается как действительный как в Firefox, так и в IE. Это не подтверждено сообществом, но подтверждено доказательством того, что вы являетесь владельцем домена (или, по крайней мере, имеете доступ к учетным записям почтмейстера, веб-мастера или хост-мастера).