Actualmente estoy creando un servidor de socket y me gustaría cifrar las comunicaciones. La cosa es que el cliente se conectará directamente a la ip sin ningún DNS. (Cada usuario sabrá la dirección IP del servidor)
¿Necesito comprar un certificado firmado por CA, o un certificado autofirmado será suficiente para la seguridad?
La autofirmación le brindaría los beneficios del cifrado, pero no le garantizaría que sus clientes se estaban conectando a su servidor, ya que no está verificable por una autoridad de certificación.
Autofirmar el servidor con su dirección IP lo pondría en riesgo de secuestro de IP . El uso de IP en lugar del nombre de dominio elimina la suplantación de DNS de la ecuación, pero no elimina por completo la amenaza de ataques MITM, por lo que no debe usar la coincidencia de IP como el único mecanismo de validación.
Sería mejor obtener un dominio y un certificado validado de dominio barato (Certificado DV) y asegurarse de que los clientes estén validando el Nombre alternativo del sujeto para una coincidencia durante el protocolo de enlace.
Además de los beneficios de seguridad, esto también le brindará la conveniencia y la portabilidad en el futuro si alguna vez necesita reubicar el servidor.
La excepción a esto es si tiene control total sobre sus aplicaciones cliente. Luego, podría usar un certificado autofirmado y podría emplear la fijación de certificados para asegurarse de que es su servidor al que se están conectando.
Lea otras preguntas en las etiquetas tls certificate-authority ip