Hay una serie de portales basados en web que pretenden facilitar la instalación de certificados SSL gratuitos para usuarios no técnicos (ZeroSsl, SSLforFree). A falta de un término mejor, estoy llamando a estos servicios de envoltura.
Como usuario relativamente no técnico, mi pregunta es si estos servicios de envoltura son inseguros, en la medida en que la CSR privada podría estar expuesta a un tercero.
Debe asegurarse de mantener su clave privada privada. Es tan simple como eso.
Una CSR (solicitud de firma certifcate) no no contiene su clave privada.
Los servicios como los que usted menciona con frecuencia ofrecen dos modos de operación:
Mientras que el último (generan el CSR para usted) generalmente se considera una característica conveniente, ya que no tiene que mantener las herramientas adecuadas para crear un CSR en su propia computadora, en la práctica significa que generarán un clave privada para usted, lo que al mismo tiempo significa que podrían guardar fácilmente una copia de su clave privada.
Y cualquier persona que esté en posesión de su clave privada puede emitir certificados adicionales con su nombre o revocar sus certificados.
Lo que significa en pocas palabras: siempre que se asegure de que su clave privada nunca abandone su máquina (es decir, si crea el CSR localmente en su máquina y lo descarga) puede usar cualquiera de esos servicios sin preocupaciones.
Si les dejas que creen la clave privada para ti, debes confiar en que no causarán ningún daño con ella.
La respuesta de @ TorstenS es correcta pero creo que está incompleta. Escribí una publicación en enlace sobre ese tema. El resumen es:
Por lo tanto, para utilizar estos servicios, necesita confiar en la persona / empresa que lo respalda. Y algunos de estos servicios tienen prácticas de seguridad realmente deficientes.
Y, por supuesto, con estos servicios, no puede automatizar.
Lea otras preguntas en las etiquetas encryption tls certificates letsencrypt