¿Es seguro crear un certificado autofirmado cuando solo los clientes envían información confidencial al servidor? Después de revisar el tema "Qué son Los riesgos de autofirmar un certificado para SSL " parece ser así, ¿o me equivoco?
¿Es seguro crear un certificado autofirmado cuando solo los clientes envían información confidencial al servidor? Después de revisar el tema "Qué son Los riesgos de autofirmar un certificado para SSL " parece ser así, ¿o me equivoco?
Mientras todos los clientes verifiquen la huella digital del certificado autofirmado (y usted les dio la huella digital correcta de otra manera, como tener una aplicación especial que tiene esta huella digital fija, por ejemplo, no el navegador habitual), es seguro.
Lo que efectivamente significa: mientras el usuario esté usando un navegador normal, no conozca la huella dactilar de su certificado autofirmado o haga clic en las advertencias de todos modos, no será seguro porque el usuario no puede distinguir su certificado de cualquier otro certificado de, por ejemplo, un hombre en el medio. Esto es como confiar en cualquier hoja de papel que afirme ser una identificación emitida por un estado.
Además de la respuesta de @ steffen:
SSL ofrece una solución para algunos problemas:
Entonces, en su caso, un atacante que está olfateando la conexión no verá la información confidencial que su cliente está enviando, pero si el atacante configura un ataque Man-in-the-Middle, puede engañar a su cliente para que envíe la información A ella, y retransmitirlo a la fiesta real. En este caso, ella capturó la información confidencial que querías proteger en primer lugar.
Lea otras preguntas en las etiquetas tls certificates http