¿Comprar en lugar de crear un certificado TLS? [duplicar]

Navega tus respuestas
0

Supongamos que un servidor web desea alojar tráfico a través de HTTPS . Mi comprensión incompleta es que TLS habilita HTTPS .

client <--- HTTPS (over TLS) ---> server

El servidor debe producir un certificado para presentarlo al cliente, quien luego debe confiar en que proceda a la comunicación HTTPS . El servidor tiene 2 opciones para obtener un certificado:

  1. Compre un certificado de una "Autoridad de certificación confiable"
  2. Crear un certificado

En el primer caso, según entiendo, el tiempo de ejecución del cliente, por ejemplo, JRE de Java, confiará en el certificado.

Sin embargo, en el segundo caso, según entiendo, el cliente debe agregar el "certificado" a su "almacén de confianza".

Suponiendo que lo anterior sea parcialmente correcto, ¿por qué una empresa elegiría la segunda opción, es decir, producir su propio certificado?

    
pregunta Kevin Meredith 11.04.2017 - 15:35
fuente

1 respuesta

1

Digamos que estoy ejecutando una red de dispositivos IOT y quiero habilitar las comunicaciones confiables con ellos. Si se están ejecutando con un almacén de certificados estándar, confiarán en cualquier sitio con un certificado en su tienda. Alternativamente, podría crear mi propia PKI (Infraestructura de clave pública), instalar solo mi certificado y estos dispositivos solo confiarán en mí. Puedo usar este certificado para crear sesiones cifradas, monitorear sistemas, implementar parches, etc.

Otro ejemplo es instalar certificados en puntos finales de escritorio y rechazar conexiones de dominio de sistemas sin esos certificados.

Otro ejemplo sería instalar certificados en terminales de pago.

Considere también el uso de certificados del lado del cliente para permitir la autenticación mutua en las comunicaciones cliente-servidor.

Por lo tanto, instalar sus propios certificados puede ser una forma económica de crear una red privada de confianza.

    
respondido por el AndyMac 11.04.2017 - 15:53
fuente

Lea otras preguntas en las etiquetas

Fuente de vulnerabilidad pública con CVSS v3 ¿Existe algún riesgo por el simple hecho de estar en un servidor comprometido? [duplicar]