Es posible (y práctico) que dos usuarios creen sus propios certificados SSL autofirmados, intercambien estos certificados (tal vez en una reunión cara a cara) y luego se comuniquen entre sí de forma segura (por ejemplo, S / MIME) ? No hay CA involucrada aquí.
Sí, es posible e incluso común que dos partes intercambien certificados de clave pública de muchos tipos, sin la participación de un tercero, para encriptar mutuamente su comunicación. Este intercambio privado es la base del Web de confianza (WOT) modelo de autenticación descentralizada. El sistema WOT más conocido es Pretty Good Privacy (PGP) y sus variantes. Si cada parte confía en la otra lo suficiente para mantener el nivel de seguridad (autorización para acceder a los recursos) que se otorga, el modelo WOT es apropiado. Consulte también Certificados autofirmados .
Infraestructura de clave pública (PKI) es el modelo de autenticación centralizado utilizado en las comunicaciones comerciales y gubernamentales, que involucra a Certificate Authority (CA) cuyo propósito es garantizar la identidad del titular del certificado al realizar un cierto nivel de diligencia debida en la entidad solicitante . La solicitud generalmente se entrega como una Solicitud de firma de certificado (CSR)).
Tenga en cuenta que hay diferentes niveles de autoridad de certificación; podrían existir varias CA intermedias entre la autoridad "raíz" y el certificado final. Algunas organizaciones, especialmente en el gobierno y la academia, mantienen su propia raíz PKI (una CA interna) que emite certificados solo dentro de la organización. Lo que separa a una CA raíz "confiable" de una que no es de confianza es principalmente la base instalada del certificado raíz. Los sistemas operativos, los navegadores y otras aplicaciones están agrupados con una selección de certificados raíz para CA que el proveedor o el consenso general de la industria consideran confiables. El software que los contiene confía automáticamente en los certificados emitidos por estas entidades emisoras de certificados, y estos certificados a menudo se instalan en el almacén de claves del usuario local, lo que permite que todas las aplicaciones que ejecuta el usuario confíen en ellos.
Los dos modelos están diseñados para diferentes niveles de confianza. Entre amigos o una organización privada, WOT es suficiente. Cuando se trata de un gran número de personas, muchas de las cuales son desconocidas o posibles amenazas, se prefiere PKI.
Lea otras preguntas en las etiquetas tls certificates certificate-authority