En el trabajo, tengo un montón de interfaces web que usan HTTP simples o certificados autofirmados (interfaz de gestión del equilibrador de carga, wiki interno, cactus, ...).
Ninguno es accesible desde fuera de vlans / redes específicas.
Para uso doméstico, uso certificados SSL cacert .
Me preguntaba si debería sugerirle a mi empleador que use certificados SSL cacert en lugar de certificados autofirmados y http simple. ¿Alguien usa cacert ssl en producción? ¿Cuáles son los pro / contras? ¿Mejora la seguridad? ¿Es más fácil de administrar? ¿Algo inesperado? ¿Puede afectar los análisis de calidad? ¿Cómo puedo convencerlos?
Por supuesto, los certificados pagados para sitios web públicos permanecerían sin cambios.
Editar:
(solo curiosidad) El certificado SSL gratuito de las empresas no parece ser de clase 3. Tuve que mostrar mi pasaporte y estar presente físicamente para obtener la clase 3 de los cacerts. ¿No hay advertencia en los navegadores para cada clase 1?
De todos modos, tendría la misma pregunta sobre cualquier CA libre: ¿es mejor que usar http autofirmado y simple, y por qué ?
Lo haría por facilidad de administración, del lado del servidor. ¿Algo que me perdí?
Descargo de responsabilidad : no soy miembro de la asociación cacert , ni siquiera Assurer, solo soy un usuario normal y feliz.
Respuestas:
Aconsejaría que si bien no hay nada de malo en usar certificados gratuitos, como de CACert, probablemente tampoco obtendrá nada al hacerlo.
Dado que nada confía en ellos de forma predeterminada, aún necesitará instalar / implementar el certificado raíz para todos sus clientes, que es la misma situación en la que se encontraría con certificados autofirmados o certificados emitidos por una CA interna.
La solución que prefiero (y uso) es una Autoridad de certificación interna y una implementación masiva de su certificado raíz en todas las máquinas de dominio. Tener control sobre la autoridad de certificación que usa hace que la administración de certificados sea mucho más fácil que incluso a través de un sitio de portal. Con su propia CA, generalmente puede realizar una secuencia de comandos de una solicitud de certificado y el problema de certificado correspondiente para que todos sus servidores, sitios y cualquier cosa que necesite un certificado pueda obtenerlo automáticamente y que sus clientes confíen en él casi inmediatamente después de ser puesto en su entorno, con sin esfuerzo ni tareas manuales por parte de TI.
Por supuesto, si no está a la altura de la tarea de configurar y automatizar su propia CA, usar una libre externa como la que mencionó podría hacer su vida un poco más fácil, solo tendrá que implementar un certificado raíz externo ... pero Probablemente debería intentar hacerlo bien la primera vez y configurar una CA interna para su dominio.
fuente
Sugeriría certificados SSL gratuitos de StartSSL, que también son reconocidos por los navegadores modernos. No tengo nada en contra de CACert, excepto que no se necesita nada más que una cuenta para emitir certificados, y esos certificados no son reconocidos por nadie a menos que instales manualmente el certificado raíz.
Descargo de responsabilidad obligatorio ya que esta es una recomendación de producto: no estoy afiliado a StartSSL de ninguna manera. Solo un cliente feliz.
fuente
Los certificados autofirmados capacitarán a sus usuarios (y a USTED) para hacer clic en las advertencias habitualmente, lo cual es un mal hábito. ¿Qué pasa si ese certificado autofirmado fue reemplazado por un certificado falso? ¿Los usuarios lo notarían o harían clic ciegamente en otro diálogo de seguridad?
fuente