Goを使用して単純なクライアントとサーバーを作成しています。SSL証明書にお金を払いたくないのですが、攻撃者がMITMを使用して自分の自己署名証明書を提供する可能性があるため、自己署名証明書はIDを証明するのに役に立たないことを読みました。
ただし、クライアントに必要なルート証明書を使用させることができることを学びました。自分で作成し、クライアントにそれを信頼させ、サーバーの証明書に署名し、MITM攻撃から保護しながら安全に接続することはできますか?もしそうなら、どうすれば自分のルート証明書を作成できますか?
自己署名証明書は、独自の PKI を展開する特殊なケースです (その PKI に証明書が 1 つしかないという極端にプッシュされます)。
クライアントが事前に知っているトラスト アンカー (証明書) を使用してサーバー証明書を検証できる場合 (および信頼できる方法でそれらを使用して構成されている場合) は、どちらも MITM 攻撃を防ぐために使用できます。
独自の CA を作成し、そのルート CA 証明書を使用するようにクライアントを構成できます。または、サーバーのセットが非常に限られている場合は、通常、特定の証明書 (自己署名または非署名) を直接信頼するようにクライアントを構成できます。
ツールへのリンクについては、次の質問に興味があるかもしれません。
基本原則を理解すれば、技術的な側面は必ずしも難しくありませんが、本当の難しさの一部は CA の管理にあります。