Cómo obtener un certificado SSL para una IP pública

  

1) ¿Puedo usar mi dirección de DNS pública para obtener el certificado SSL?

No; para citar este tutorial de Amazon ,

If you plan to use your EC2 instance to host a public web site, you
need to register a domain name for your web server or transfer an
existing domain name to your Amazon EC2 host.

La "dirección DNS pública" de Amazon (que se parece a ec2-1-2-3-4.compute-1.amazonaws.com ) no funcionará porque no eres Amazon. Debe obtener su propio dominio para que esté autorizado a obtener certificados para ello.

  

2) ¿Existe alguna CA gratuita que se conozca como confiable y que pueda usar para   obtener un certificado?

StartSSL es la respuesta tradicional para esto, pero son bajo una nube y probablemente no se ajuste a lo que usted llama" confiable ".

LetsEncrypt es otra buena respuesta que probablemente se ajuste a sus necesidades, especialmente donde usted necesita acceso a su servicio (y no, digamos, un amplia base de clientes de personas y navegadores variados).

  

3) Quiero usar https porque la instancia de EC2 será manejada por el usuario   iniciar sesión. ¿Debo seguir adelante y usar http regular y enviar información   de esa manera en lugar de intentar configurar https?

No, hay cientos de buenas razones para usar HTTPS y muy pocas buenas razones para no hacerlo.

El acceso a su base de datos a través de HTTP lo deja abierto a la interceptación, por lo que se espera que no haya información confidencial ni autenticación (ya que está pasando su identificación y contraseña de forma clara a través de Internet).

  

1) ¿Puedo usar mi dirección de DNS pública para obtener el certificado SSL?

Eso es lo que debes hacer. ACTUALIZACIÓN: por supuesto, eso solo funciona cuando usa su propio nombre de dominio; no puede hacerlo si usa un nombre de dominio de AWS.

  

2) ¿Hay alguna CA gratuita que se conozca como confiable y que pueda usar para obtener un certificado?

Hay algunos pero son limitados. LetsEncrypt y StartSSL por ejemplo. Sin embargo, el nivel de confianza es limitado ya que no proporcionan ninguna verificación de antecedentes para demostrar que usted es legítimo.

ACTUALIZACIÓN: Puede que haya sido un poco negativo al parecer acerca de LE. Está absolutamente bien para uso de baja confianza. Un paso adelante de un certificado autofirmado (aunque eso también está bien si puede solucionar el problema de la instalación de certificados de raíz para todos los clientes). Sin embargo, depende de su caso de uso y de cuánta confianza necesite para aplicar. Sin conocer los detalles, no puedo decirle qué nivel de confianza necesita. Es posible que los certificados LE estén bien o que deba ir al extremo opuesto de un certificado de validación extendido.

También tenga en cuenta que los certificados LE tienen una vida útil muy corta. Eso significa que, de manera realista, debe tener un script automatizado de renovación de certificados y eso reduce la seguridad ligeramente a menos que haga la renovación fuera del servidor para el que está el certificado.

  

3) Quiero usar https porque la instancia de EC2 manejará el inicio de sesión del usuario. ¿Debo seguir adelante y usar http regular y enviar información de esa manera en lugar de intentar configurar https?

NUNCA ¡haz inicios de sesión a través de HTTP! Nuevamente, significaría enviar datos confidenciales en texto claro a través de Internet. Eso solo invita a alguien a interceptarlo y hacer un mal uso de la información.

Para obtener un certificado SSL gratuito / de prueba , debe ir con Symantec, Comodo o RapidSSL . Son las principales Autoridades de Certificación SSL del mundo y también son aceptadas por los navegadores modernos del 99.9%.