我在互联网上遇到了各种 mqtt over tls howto,出于某种原因,它们中的每一个都使用自签名代理证书。这是有原因的吗?
创建一个 CSR 并将其发送给受信任的 CA 进行签名不是更好吗?自签名在安全性方面有什么优势吗?
我在 tls 证书上遇到的一些关于 mqtt 的链接:
https://forums.raspberrypi.com/viewtopic.php?t=287326
此外,如果代理证书是自签名的,我必须保留代理证书的本地副本,但如果它是由受信任的 CA 签名的,我可以直接连接到代理(基于 /etc/ssl/certs) 。这是正确的说法吗?
指南使用自签名证书或私人 CA 颁发的证书,因为它们是免费的,可以针对原始 IP 地址(包括 RFC1918 范围)颁发
虽然 LetsEncrypt(和其他一些)可以轻松地为具有公共主机名(并且通常可公开路由)的机器获得“真实”证书,但最简单的路线还取决于在同一主机名上启动并运行网络服务器(或完全控制给定域的 DNS 条目)。他们也不会向您颁发原始 IP 地址的证书。
因此,作为 PoC 或完全内部设置的自签名证书可能是一个要求,但对于面向互联网的任何内容,特别是如果要由其他人或很难导入私有 CA 证书的设备使用,则使用颁发的证书由公共 CA 通常是最好的。