Como desarrollador, me gusta mucho la idea de utilizar OpenSSL para obtener certificados SSL gratuitos, absolutamente buenos. Desafortunadamente, de todas las investigaciones / análisis que he realizado hasta ahora, no parece que haya ninguna forma de usar OpenSSL de tal manera que los navegadores de mis usuarios web confíen en los certificados que genera para mí.
Parece que, para evitar que mis usuarios reciban mensajes de advertencia desagradables de sus navegadores (quejándose de que mis certificados generados por OpenSSL no son confiables / verificados), voy a tener que usar un proveedor importante como Trustwave, VeriSign, etc.
Me pregunto si existe tal concepto de certificados SSL "públicos" frente a "privados". Con eso, quiero decir, compraría un certificado SSL "público" de uno de estos proveedores, y lo usaría para todas las comunicaciones entre los navegadores de mis usuarios y mis servidores HTTP públicos. Pero una vez que se consume un mensaje del lado del servidor, se comunicaría con el resto del back-end utilizando diferentes certificados "privados" (generados por OpenSSL).
La idea detrás de esto es mantener los datos en movimiento a través de mi back-end usando transportes seguros, pero no tener que pagar por un bazillion de certificados SSL diferentes.
¿Es esto inaudito o completamente innecesario? ¿O es esta práctica estándar?
¿Por qué necesitaría que los datos estén seguros entre 2 de mis propios servidores backend? No lo sé. Probablemente no es necesario que lo esté, pero es probable que no te duela. ¿Pensamientos?