自分のサーバー間で暗号化された接続を実行したいと思います。Curl(またはその他のメカニズム)を使用して、SSL証明書の検証なしでHTTPSを使用して接続できます。私はPHPを使用していますが、この質問ではおそらく言語は重要ではありません。
SSL証明書なしでHTTPSを使用する方が、プレーンHTTPを介してまったく同じ接続を行うよりも少なくとも安全であると想定しています。これは、少なくとも暗号化されており、悪意のあるユーザーが情報を傍受して復号化するためにはるかに大きな労力を費やす必要があるためです。
私の知る限り、SSL証明書には、「この信頼できるサードパーティは、接続するサーバーは、それを所有していると主張する人が所有していると言っています」としか書かれていません。自分のドメイン名またはIPアドレスを使用して接続すると、自分が所有者であることがわかります。私が接続の両端の所有者である場合、SSL証明書はどのような付加価値を提供しますか?
接続先のサーバーの ID を確認しないと、接続が潜在的な MITM 攻撃にさらされる可能性があります。SSL/TLS は証明書なしで (匿名暗号スイートを使用して) 使用できますが、安全ではありません (デフォルトでは無効になっています)。TLS RFC が言うように: 「このモードは中間者攻撃に対して脆弱であるため、非推奨であることに注意してください。」さらに、HTTPS 仕様自体は、X.509 証明書があることを想定しています。
相手の身元を確認することは、システムを保護するために必要な要素です。(たとえ秘密性が保証されていたとしても) 本人ではない可能性のあるリモート パーティと秘密裏にデータを交換することは、あまり役に立ちません。
そうは言っても、商用 CA を経由する必要はありません。信頼できる証明書として各クライアントに個別にインポートする必要がある自己署名証明書を使用するか、独自の機関 CA を作成することができます。これを行うためのツールがあり、OpenSSL CA.pl(man ページを参照)、TinyCA、OpenCAなどがあります。一部のオペレーティング システムは、独自の小さな CA 機能も提供します。
自分のドメイン名または IP アドレスを使用して接続すると、自分が所有者であることがわかります。私が接続の両端の所有者である場合、SSL 証明書はどのような付加価値を提供しますか?
証明書は、実際にマシンに接続していること、およびトラフィックが傍受されていないことを保証します。そのため、認識できる証明書であることを確認する必要があります。
SSL 証明書は、顧客やサイトを使用する人々の心に寄り添うものです。いずれの場合も、データは同じ接続を介して送信されます。これは、第三者があなたを安全であると証明しているかどうかの問題です。
私の最後の仕事では、最後の仕事ですべての内部データ転送を https/ftps 経由で行いましたが、ごく最近まで SSL 証明書を持っていませんでした。データ転送は内部で行われたため、違いはありませんでした。