我正在开发一个应用程序,其中服务器部分用Go编程,客户端用C#编程,两者之间的连接使用TCP套接字通信,为了确保连接,我使用TLS。
我的问题是,在使用自签名证书进行TLS通信时,在我的情况下是否会出现任何安全问题。
我知道,对于使用https的web服务器,有必要使用由证书颁发机构(CA(签名的证书,但在我的情况下,当连接我自己的客户端应用程序时,我不明白为什么要使用其中一个。
如果有人知道这件事,那将是一个很大的帮助。
证书用于验证端点,通常证书由客户端(如web浏览器(已经信任的证书颁发机构签名。在这种情况下使用自签名证书可能会导致问题,因为浏览器不信任它,因此会弹出警告框。然而,真正的问题是,对于典型的用户来说,来自服务器的警告与使用另一个自签名证书的攻击者几乎无法区分。他们会点击离开并KABOM!
如果这是一个封闭的环境,并且您同时控制服务器和客户端,那么自签名证书就无关紧要了。事实上,您甚至根本不需要一个,使用TLS-PSK或TLS-SRP等替代方案可能会更好。