Usando clave pública / privada sin certificado firmado

Con SSL, el cliente debe usar la clave pública del servidor, y debe tener una forma de asegurarse de que esté usando la clave del servidor derecha , no una falsa enviada por algún atacante en el ruta de red. De eso se tratan los certificados. Si no puede confiar en la información del certificado del servidor, entonces ... no puede confiar en ella y pierde.

Si conoce de antemano la clave pública del servidor y puede codificarla en el código del cliente, entonces realmente confía en ella, y está bien (aunque no es muy flexible). Un valor de certificado de servidor codificado es, de hecho, un PKI muy reducido.

  

¿Hay algún problema de seguridad si uso mi propio par de claves pública / privada sin que sea un certificado de confianza?

Supongo que quiere decir "firmado por una entidad de certificación conocida" cuando dice "confianza". ¡Si, absolutamente!

Sin embargo, recuerda, no hagas rodar tu propio protocolo. Utilice SSL / TLS. Cree su propia autoridad de certificación con una herramienta como openssl y utilícela para firmar certificados SSL para el cliente y el servidor.

Como oposición a @Terry me voy con. No, en absoluto o tal vez no.

Dependerá del uso que le vayas a dar a esta aplicación, si es personal entonces, ¿por qué pagarías a un CA para que tu pareja sea "confiable"?

Al contrario, si planea hacer "público" con usuarios "públicos", si no utiliza una CA de confianza, sus usuarios recibirán una GRAN advertencia cuando accedan a su aplicación.