Seamos breves:
- En HTTP todos pueden escuchar fácilmente. Los ataques MITM no son un problema.
- En HTTPS (autofirmado) todo está al menos encriptado, es mucho más difícil de atacar con MITM y solo los propietarios de claves privadas pueden escuchar.
- En HTTPS (no autofirmado - > "confiado por el proveedor del navegador") es como 2, pero se crea la ilusión de que esto es mucho más seguro que autofirmado, pero al final tenemos que confiar en el El proveedor del navegador no puede cometer errores (ni ser sobornado)
Para mí, la opción 1 es mucho menos segura que 2, aún así los navegadores se quejan de que HTTP no es así, pero los certificados autofirmados son extremadamente difíciles: se necesitan varios clics para establecer la conexión, de lo contrario, bloquean completamente la conexión con mensajes de miedo. . ¿Por qué es esto?
Por supuesto, conozco la razón detrás de los certificados: para asegurarse de que la persona con la que está hablando es con la que realmente quiere hablar. Pero en HTTP no tiene cifrado y no tiene confianza. En HTTPS (autofirmado) tiene al menos cifrado.
Entonces, ¿no debería ser realmente como el siguiente?
- HTTP desencadena el "gran error rojo gordo"
- HTTPS + autofirmado tiene un icono de advertencia pero funciona con regularidad
- HTTPS + "certificado de confianza" no emite ninguna advertencia en absoluto
¿Cuáles son las razones aquí?