Consulte aquí: enlace
Chrome, Firefox e Internet Explorer advierten que no es de confianza, esencialmente haciendo que todo sea inútil. Si quiero algún tipo de certificado ssl, puedo crear el mío con makecert.exe, el efecto sería el mismo, ¿no? Todos los navegadores advierten con letras rojas grandes que no es válido.
¿Qué es lo que no entiendo de este sistema?
Los consumidores del servicio que está intentando autenticar con los certificados proporcionados por un tercero "no confiable" podría estar más dispuestos a instalar el certificado raíz de alguna parte independiente en su cadena de confianza, vs. alguna CA raíz única que ha creado solo para su servicio.
En tal caso, cacert (o entidad equivalente) asume la carga de la confianza, tal como lo haría VeriSign o COMODO; simplemente no son de confianza implícita en los sistemas operativos o los navegadores de sus consumidores.
Una teoría es que, idealmente , el usuario final debe administrar su propia tienda de CA raíz de confianza, tomando una decisión informada basada en las Declaraciones de Prácticas de Certificación publicadas por la CA existente.
Sin embargo, la teoría y la práctica solo coinciden en teoría. No es sorprendente que la mayoría de los usuarios no puedan y no manejarán ese proceso de administración, aunque solo sea porque se basa en conceptos altamente técnicos (no solo en los conceptos criptográficos, sino también y, lo que es más importante, en los conceptos legales ). Por lo tanto, los proveedores de sistemas operativos y navegadores se deciden por una lista de "CA raíz predeterminada" que pondrán en sus navegadores, y la gran mayoría de los clientes implementados confiarán en ellos. Estos proveedores lo hacen como parte de procedimientos relativamente complejos con grandes requisitos en la CA, por ejemplo. Seguros y procedimientos detallados en vigor en el lado de CA. (Consulte esta respuesta .)
En este momento, CAcert es una CA "aspirante" que intenta convertirse en una "CA de confianza" predeterminado ", pero aún no ha alcanzado una amplia aceptación por parte de los proveedores de sistemas operativos / navegadores. Parte del problema es que los requisitos de procedimiento para una CA segura tienen una contraparte financiera sólida: los requisitos de seguridad física no son baratos (no colocará una CA seria "en la nube"; necesita locales seguros), y la CA debe demostrar que tiene los medios para seguir trabajando durante mucho tiempo, o al menos hacer un "cierre limpio" en caso de que cese la actividad. El dinero es la clave. La postura de CAcert de "vamos a regalar certificados gratuitos" no ayuda a ganar suficiente dinero para eso.
Lea otras preguntas en las etiquetas tls certificate-authority