Donde trabajo, actualmente para sitios internos, se utilizan certificados autofirmados. En Firefox, se muestra la información sobre el certificado:
site domain: example.com
Owner: Site doesn't supply owner info
verified by: company name
Tengo curiosidad por saber qué tan vulnerables son los certificados autofirmados para un hombre en el ataque central, como la tira SSL. La vulnerabilidad obvia que se me ocurre es que los usuarios estarían acostumbrados a confiar en el certificado, por lo que una tira SSL no generaría ninguna advertencia nueva en Firefox (corríjame si me equivoco). También en un hombre en el ataque central, ¿es posible que el atacante muestre el mismo certificado exacto a los usuarios finales (también verificado por: el mismo nombre de la empresa)?