Quiero que mi Synology NAS sea accesible a través de Internet. Al crear mi propio certificado e importarlo en todos mis dispositivos (PC, computadora portátil, teléfono inteligente, tableta, etc.) ¿es esto tan seguro como comprar un certificado?
Si no, ¿cuál es la cosa más segura que puedo lograr sin gastar dinero extra?
El propósito de una infraestructura de certificado público es crear una cadena de confianza entre entidades que no confían entre sí directamente. Usted paga a las autoridades de certificación porque otras personas confían en ellas para emitir certificados solo a entidades confiables.
Suponiendo que confía en usted mismo (o en quien haya emitido el certificado), los certificados autofirmados no son menos seguros que los firmados por una CA pública.
Preguntas similares y posiblemente relevantes: ¿Es un certificado SSL autofirmado mucho mejor que nada?
Los certificados autofirmados son perfectamente seguros, pero como declaración general, recuerde que los navegadores de sus clientes no confiarán en su sitio web porque su clave pública no está en su almacén de claves. En este caso, el certificado actúa como la clave pública, y el cliente asume que si el servidor que entregó el certificado puede descifrar un mensaje con su clave privada, debe ser el propietario original. En este sentido, los certificados autofirmados son tan seguros como los firmados por una CA suponiendo que usted confía en el propietario del sitio web, lo cual estoy seguro de que sí.
Cuando se realiza correctamente, los certificados autofirmados son tan seguros como los certificados emitidos por las autoridades de certificados comerciales. Sin embargo, considera que necesitarías instalar tu propio certificado raíz en cada dispositivo. A menos que sea el único usuario o tenga usuarios muy obedientes que estén dispuestos a soportar la molestia de instalar el certificado raíz, es probable que en la práctica disminuya la seguridad, ya que la mayoría de los usuarios simplemente descartarán las advertencias del certificado SSL o deshabilitarán la validación del certificado en lugar. (Para un cliente Windows, por ejemplo, los pasos para instalar un certificado raíz en todo el sistema no son -Trivial. Más allá de eso, también tendría que instalarlo una vez por perfil de Firefox si usa Firefox.)
En ese contexto, puede encontrar que es ventajoso gastar solo unos pocos dólares al año para obtener un certificado comercial. Incluso podría obtener una gratuita . Dado que los certificados básicos (nombre de host único, validación de control de dominio) son muy económicos, no recomiendo actuar como su propia autoridad de certificación en la mayoría de los casos.
Cuando creo mi propio certificado e importo esto en todos mis dispositivos ... ¿es esto tan seguro como comprar un certificado?
Cuando compras un certificado, el proceso general es como:
Cuando usa un certificado autofirmado, el proceso general es como:
Tenga en cuenta que en ninguno de estos, una CA necesita ver su clave privada. Usted realiza la generación de claves, no la CA. La CA simplemente toma el CSR, realiza un cierto grado de verificación de la información en el certificado y certifica que es correcta al firmar el certificado con su clave privada y el envío del certificado resultante de vuelta a usted.
Por lo tanto, si puede vivir con la advertencia de certificado autofirmado cuando navega por el sitio web y se siente cómodo comprobando que está recibiendo el certificado correcto de su servidor, no hay una diferencia de seguridad significativa entre un Certificado firmado por CA y un certificado autofirmado.
Lea otras preguntas en las etiquetas certificates