问为什么自我签名的证书不受信任，是否有办法使它们可信？

EN

您需要将根证书导入浏览器的信任存储区。一旦浏览器知道您信任此根证书，由该证书签名的所有证书都将显示为受信任的证书。

请注意，这只会使连接为您所信任，任何没有安装根证书的其他人仍然会收到错误。

自签名证书本质上是不受浏览器信任的，因为证书本身并不构成任何信任，信任来自每个人都信任的证书颁发机构。您的浏览器根本不信任您的自签名证书，就好像它是根证书一样。若要使浏览器接受证书，请进入浏览器配置并将证书添加为根证书。

获得受信任的自签名证书的最佳方法是通过一个关键仪式，这基本上是一个重大的公共事件，所有密码者和安全专家聚集在一起见证根CA生成他们的密钥对并声明自己为根CA。一切都被记录下来:录像，每个人都是谁，每个人都在做什么。私钥被分割成许多不同的部分，并单独存储在保险箱中，通常是在签署了单个证书之后，该证书用作中介来签署其他证书。如果你愿意的话，你可以读到关于典型程序的文章。当然，您需要有最先进的安全性，包括技术和物理安全，这样做，并让任何人想要使用或信任您的根CA。完成此操作后，您的证书可能包含在浏览器发行版中，然后可供一般公众使用以创建证书的信任链。

实际上，自签名证书可以是安全的，只是在我们现在使用的模型下是不安全的。

在每个人当前使用的广泛CA (证书颁发机构)模型下，由受信任的CA签名的证书的目的是提供身份验证。

当我们拿到证书的时候，我们真正看到的是从墙上的千斤顶进来的1's和0's，我们不知道那1‘0’和‘0’是从哪里来的。但是，由于证书是由CA签名的--除了该CA之外，世界上没有人能这样做--而且由于我们信任CA来验证证书所有者的身份，所以我们相信证书来自它声称的身份。

当然，如果CA被破坏了或不能正确地验证所有者，所有的赌注都取消了。

然而，还有另一种模式，在这种模式下，自签名证书确实提供了真实性。这叫公证模型。

本质上，我们不信任单个CA，而是将信任分配给任意数量的公证人。这些公证人在互联网上搜索证书，保存他们所见过的所有证书的缓存。当您第一次访问某个站点并获得证书时，您会询问一些全球分布的公证员他们最后看到的证书是什么。如果他们不同意你所看到的，你可能是中间人攻击的一部分。

在这种模式下，自签名证书是完全安全的，只要我们假设服务器在任何公证人能够查看其证书之前都不会立即受到破坏。

公证模式还处于起步阶段，很难接受CA模式(实际上，它不一定--它们可以同时使用)。到目前为止，最有希望的项目是Convergence.io，它为Firefox提供了一个插件。