Sé que si uso un certificado autofirmado, los navegadores avisarán al usuario, pero quiero saber que, desde el punto de vista de la seguridad, ¿el certificado autofirmado es tan seguro como la autoridad de certificación (CA)?
Un certificado autofirmado puede tener las mismas características de seguridad (cifrado, validación extendida, uso permitido) que un certificado emitido por un emisor líder como VeriSign o GeoTrust. Estas opciones deben configurarse cuando se crea el certificado.
Sin embargo, el propósito y la ventaja de la infraestructura de clave pública (PKI) (como la Autoridad de certificación interna utilizada dentro de una empresa, VeriSign / Symantec, GeoTrust y muchos más) es que existe una relación de confianza existente entre el cliente y Emisor del certificado (ej. VeriSign). El cliente (la gente y el navegador) confía en que el emisor lo ha verificado y ha verificado que usted es quien dice ser. Los emisores de certificados tienen estrictas prácticas de seguridad que deben mantener. Este tipo de relación no se replica con un certificado autofirmado.
Puede instalar un certificado autofirmado en un navegador (debe hacerse para cada navegador) para que reconozca que el certificado es de confianza.
Si no realiza este paso, el usuario no tiene forma de saber que el certificado ha cambiado a menos que lo inspeccione manualmente. Esto podría ser peligroso porque alguien podría interceptar la transmisión (man-in-the-middle) y el usuario no sabría que el certificado / host fue el incorrecto.
Al observar solo la funcionalidad, un certificado autofirmado no ofrece ni más ni menos seguridad que uno emitido por una autoridad de certificación líder.
Los sitios web son para usuarios, y un certificado de confianza es importante para que el usuario sepa que su sitio web es quien dice que es.
Mi opinión personal es que la confianza y facilidad de implementación que se obtiene al usar una autoridad de emisión pública es muy importante para un sitio web público, especialmente si no tiene una relación cercana con las personas que la visitan.
Un certificado autofirmado puede ser adecuado para desarrollo / pruebas internas limitadas.
Una Autoridad de certificación interna para uso es una buena solución para las empresas que usan certificados internamente y tienen experiencia en PKI.
Espero que ayude
No es seguro, porque te hace vulnerable a una redirección o un ataque de hombre en el medio. Cualquier atacante puede crear un certificado autofirmado para su dominio, y sus usuarios no podrán decir que recibieron el incorrecto si fueron trasladados al sitio del atacante en lugar del suyo.
Como ya ha dicho, el navegador emitirá una advertencia al usuario. Esto hace posible la conexión en el medio. Los certificados se refieren a la confianza y su certificado autofirmado carece de la cadena de confianza que normalmente obtiene con un certificado firmado por CA. Considere esto: si el cliente está pasando por mi enrutador para conectarse a su sitio web, puedo interceptar la comunicación, generar un certificado sobre la marcha (para el cliente) y hablar con su servidor utilizando su certificado. Todavía se vería igual para el cliente, pero en mi enrutador tengo el tráfico sin cifrar.
Cuando hablamos de seguridad, los certificados autofirmados y firmados por CA brindan el mismo cifrado de 256 bits a su sitio web. Sin embargo, SSL no solo se usa para la seguridad, sino que también se refiere a la autenticación y la confianza de los usuarios.
Inconvenientes del certificado autofirmado,
El certificado autofirmado y el certificado firmado tienen la misma fuerza de cifrado, pero al lado de este cifrado, el titular de un certificado autofirmado tendrá algunos inconvenientes de utilizar un certificado autofirmado.
El certificado autofirmado es ideal para pruebas internas, mientras que el certificado firmado se puede usar para entornos internos y externos.
El certificado autofirmado no es compatible con PKI (infraestructura de clave pública) que construye la confianza entre el usuario y el emisor del certificado asegurando al usuario que un certificado firmado en particular es válido y se ofrece desde una CA (autoridad de certificación) reputada .
El navegador emitirá una advertencia al encontrarse con un certificado autofirmado en contrario, el certificado firmado ya tiene sus certificados raíz implementados en el navegador, por lo tanto, no habrá ningún problema de advertencia del navegador durante la visita de un sitio web.
Si está tratando con un sitio web de comercio electrónico, financiero, bancario, entonces los usuarios no confiarán en el certificado autofirmado, en ese caso, debe ir con un certificado firmado.
No puede revocar el certificado autofirmado. Si se compromete la clave privada de un certificado autofirmado, los atacantes pueden personalizarlo fácilmente.
Si un atacante realiza un ataque de hombre en el medio, un usuario que interactúa con el navegador no puede saber si el atacante ha cambiado y utilizado el certificado hasta que el usuario lo inspecciona manualmente. Por lo tanto, el atacante puede oler detalles de transacciones en curso.
Cuando los usuarios se enfrentan a advertencias de seguridad debido a un certificado autofirmado, pueden comprender que el sitio web no es capaz de proteger su información personal y se alejarán del sitio.
Al tratar con un certificado autofirmado en un entorno interno, se recomienda a los empleados que ignoren las advertencias de seguridad, ya que tienden a ignorar las advertencias a largo plazo, incluso al navegar por sitios públicos que pueden dejar a la organización vulnerable.
El certificado autofirmado está disponible de forma gratuita, mientras que usted debe pagar pocos dólares por el certificado firmado. En general, tendrá autenticidad, confianza y cifrado con un certificado firmado que puede ser una gran ventaja para cualquier sitio web de negocios en línea.
Lea este artículo que mi empresa publicó en saber más sobre los riesgos en los certificados autofirmados.
La parte divertida de todo esto es que en todas las empresas de alojamiento para las que he trabajado NUNCA HE ESCUCHADO DE Verisign, Comodo o cualquier otra Autoridad de Certificación que llame para verificar que la información proporcionada por su cliente es cierta. Verifican que la tarjeta de crédito cargue correctamente y podrían verificar que la dirección de facturación coincida con lo que el cliente dijo PARA FACTURAR LA TARJETA DE CRÉDITO, pero NO para emitir un certificado. Así que, mientras que la "relación de confianza" está implícita, ¡rara vez ESTÁ REALMENTE AQUÍ! Sí, generar su propio certificado está bien para las cosas internas, pero para las cosas de cara al público, donde los clientes comprarán, debe utilizar un certificado emitido por una autoridad de certificación pública. Los clientes no entienden nada de esto, ni deberían hacerlo, pero confían en que la empresa Verisign sea confiable (aunque no comprueban los certificados antes de emitirlos, están hechos por una computadora ... no un humano ). Espero que esto ayude.
Si todos tus usuarios te conocen y confían en ti, puedes crear tu propia CA de forma gratuita. OpenSSL, por ejemplo, le ofrece todo lo que necesita para eso:
La diferencia es solo legal. Si es el propietario de la CA y el sitio, no hay un tercero de confianza.
Lea otras preguntas en las etiquetas tls certificates certificate-authority