Diferencia de seguridad
Primero, hablemos de SSL (ahora llamado TLS por cierto), que agrega la 'S' al final de HTTP S y está a cargo de " asegurar la comunicación ". La clave para responder a esta pregunta es, de hecho, comprender completamente lo que queremos decir con "asegurar la comunicación".
SSL, sin importar si se trata de un certificado autofirmado que está siendo usado o firmado por una CA de confianza, garantizará que la comunicación entre usted y el host remoto sea confidencial y que nadie pueda manipular los datos intercambiados. .
Por lo tanto, la advertencia no se trata de eso.
Sin embargo, ¿cómo puede estar seguro de que este host remoto que responde a sus solicitudes es realmente quien espera que sea? Con los sitios web públicos, para los cuales no tiene una forma directa de autenticar el certificado solo, es simplemente imposible. Aquí viene una CA de confianza externa: al confiar en una CA, usted asume que todos los certificados firmados por él se usan solo con fines legítimos para proteger el tráfico con los servidores mencionados explícitamente en el certificado.
Esto es todo de lo que se trata esta advertencia: su navegador le advierte que, si bien la comunicación en sí es segura, no tiene una forma automática de autenticar el certificado por sí misma y, por lo tanto, confía en que lo acepte o lo rechace.
Si el certificado autofirmado está asociado a uno de sus servidores, debería poder continuar con esta autenticación manual: debería poder verificar la huella digital del certificado, o al menos debería saber si el certificado ha sido modificado. Recientemente o no.
Una vez que se haya realizado esta autenticación manual, su navegador le ofrece la posibilidad de "recordar" este certificado: esto significa que el navegador asociará este certificado autofirmado al host de URL y no le avisará en el futuro desde ahora. , el navegador tiene una forma automatizada de autenticar el certificado.
Sin embargo, tan pronto como el certificado autofirmado se modifique en el servidor, el navegador mostrará nuevamente la advertencia, y de nuevo dependerá del usuario final determinar si este cambio del certificado es normal y si El nuevo certificado presentado por el servidor es realmente genuino.
diferencia de UX
Mi respuesta no cubría el aspecto de la interfaz de usuario del navegador de su pregunta hasta ahora.
Encontré que la forma predeterminada en que el navegador informa a los usuarios acerca de la seguridad actual es, en su mayoría, ineficaz. El usuario solo no se preocupa por el candado , y no se da cuenta cuando falta la seguridad SSL . Incluso los usuarios a los que les importa no tienen acceso a la información correcta (nada impide que un sitio web muestre un Certificado de Validación Extendida para configurar su sitio web para usar sistemas de criptografía deficientes y débiles o para confiar en el contenido de terceros menos seguro: la interfaz del navegador por defecto aún estará feliz y mostrará la barra verde de "seguridad de primera categoría".
Con suerte, dependiendo del navegador utilizado, puede haber algunos complementos que intenten remediar esta situación. En Firefox, tiene SSLeuth que, de forma predeterminada, agregará un área de notificación nueva a la izquierda o la barra de URL (junto al candado cuando hay uno)
Esta nueva área de notificación tiene las siguientes propiedades:
- El color de fondo varía de rojo (sin seguridad: HTTP), de naranja (configuración de seguridad deficiente) a azul y verde (seguridad buena y mejor según las mejores prácticas actuales).
- Una opción permite extender este color a toda la barra de URL, por lo que los sitios web HTTP ahora mostrarán una barra de URL completamente roja,
- Por último, se muestra una puntuación (entre 0 y 10) para mostrar una estimación del nivel de seguridad SSL / TLS actual. Tiene en cuenta varios criterios, entre ellos el tipo de certificado (autofirmado, firmado por CA, certificado de validación extendida), la configuración criptográfica utilizada, la seguridad del contenido de terceros, etc. Al hacer clic en el área de notificación se proporcionan todos los detalles de puntuación, principalmente útil cuando el resultado no es el esperado (también conocido como " ¿Por qué a mi sitio web bancario se le otorga una barra naranja de URL? ").