Правила SSL, когда клиент и сервер размещаются отдельно

Question

Я размещаю веб-игру на страницах github. Это приложение реагирования, которое подключается к серверу веб-сокетов (через wss), работающему вне коробки linux в моей гостиной. Я создал самозаверяющий сертификат для сервера, и на github-страницах уже есть сертификат Let's Encrypt по умолчанию. Предположительно, потому что сертификат самоподписан, клиент отказывается подключаться к «небезопасному» серверу, и мне не предлагается устанавливать сертификат или что-либо еще, потому что у клиента есть собственный отдельный сертификат. Решит ли все мои проблемы только покупка настоящего сертификата? Должен ли я просто разместить сайт на том же сервере и выяснить все, что с этим связано (я понимаю, что это, вероятно, лучший ответ)? Каково общее мнение о наличии отдельных ssl-сертификатов для клиента и сервера?

Answer 1

вы можете добавить свой самозаверяющий сертификат в ваше локальное хранилище доверенных сертификатов, но это небольшая работа, и каждый, кто подключается к вашему сайту, должен будет это сделать. покупка сертификата решит эту проблему, потому что затем он подписывается доверенным центром сертификации, который позволяет каждому проверить подлинность ваших серверов. с другой стороны, если вы переместите свой пользовательский интерфейс на самозаверяющий сервер, веб-браузер запросит (соответственно предупредит) пользователя о недоверенном сертификате, и пользователь собирается сказать, хочет ли он перейти на сайт или нет. это тоже "решило бы" проблему.

последнее, но не менее важное. довольно часто разделяют пользовательский интерфейс и серверную часть и, следовательно, тоже разделяют сертификаты, но не в таких маленьких приложениях. в большой среде определенно стоит того, потому что это разделение интересов.