Czy warto używać certyfikatów SSL cacert zamiast certyfikatów samopodpisanych w produkcji?

W pracy mam kilka interfejsów internetowych, które używają zwykłych certyfikatów HTTP lub samopodpisanych (interfejs zarządzania modułem równoważenia obciążenia, wewnętrzne wiki, kaktusy, ...).

Żadne nie jest osiągalne spoza określonych sieci / sieci.

Do użytku domowego używam certyfikatów SSL cacert .

Zastanawiałem się, czy powinienem zasugerować mojemu pracodawcy, aby używał certyfikatów SSL cacert zamiast certyfikatów z podpisem własnym i zwykłego http. Czy ktoś używa cacert ssl w produkcji? Jakie są zalety / wady? Czy to poprawia bezpieczeństwo? Czy łatwiej jest zarządzać? Coś nieoczekiwanego? Czy może wpływać na skany jakości? Jak mogę ich przekonać?

Oczywiście, płatne certyfikaty dla publicznych stron internetowych pozostałyby niezmienione.

Edytować :

(po prostu ciekawy) Bezpłatny certyfikat ssl od firm nie wydaje się być klasą 3. Musiałem pokazać mój paszport i być obecny fizycznie, aby uzyskać klasę 3 od cacerts. Czy w przeglądarkach nie ma ostrzeżenia dla każdej klasy 1?

W każdym razie mam to samo pytanie na temat dowolnego bezpłatnego urzędu certyfikacji: czy jest to lepsze niż używanie własnego podpisu i zwykłego protokołu HTTP i dlaczego ?

Zrobiłbym to dla łatwości zarządzania, po stronie serwera. Czy coś mi umknęło?

Oświadczenie : Nie jestem członkiem stowarzyszenia cacert , nawet Assurer, tylko zwykłym szczęśliwym użytkownikiem.

Radziłbym, że chociaż nie ma nic złego w korzystaniu z darmowych certyfikatów, takich jak CACert, prawdopodobnie również nie zyskasz na tym.

Ponieważ nie są one przez nikogo domyślnie zaufane, nadal musisz zainstalować / wdrożyć certyfikat główny na wszystkich swoich klientach, co jest w takiej samej sytuacji, jak w przypadku certyfikatów z podpisem własnym lub certyfikatów wydanych przez wewnętrzny urząd certyfikacji.

Preferowanym przeze mnie rozwiązaniem (i korzystaniem z niego) jest wewnętrzny urząd certyfikacji i masowe wdrożenie jego certyfikatu głównego na wszystkich komputerach domeny. Kontrola nad urzędem certyfikacji, z którego korzystasz, znacznie ułatwia zarządzanie certyfikatami, nawet za pośrednictwem witryny portalu. Za pomocą własnego urzędu certyfikacji możesz ogólnie utworzyć skrypt żądania certyfikatu i odpowiedniego problemu z certyfikatem, aby wszystkie serwery, witryny i wszystko, co wymaga certyfikatu, mogło uzyskać je automatycznie i zaufać klientom niemal natychmiast po wprowadzeniu do środowiska, z bez wysiłku lub ręcznych zadań przez IT.

Oczywiście, jeśli nie musisz konfigurować i automatyzować własnego urzędu certyfikacji, to skorzystanie z zewnętrznego bezpłatnego takiego jak ten, o którym wspomniałeś, może ułatwić ci życie, wystarczy wdrożyć tylko jeden zewnętrzny certyfikat główny ... ale prawdopodobnie powinieneś spróbować zrobić to dobrze za pierwszym razem i skonfigurować wewnętrzny urząd certyfikacji dla swojej domeny.

Proponuję bezpłatne certyfikaty SSL od StartSSL, które są rozpoznawane również przez nowoczesne przeglądarki. Nie mam nic przeciwko CACert, z wyjątkiem tego, że do wystawienia certyfikatów potrzeba tylko konta, a te certyfikaty nie są rozpoznawane przez nikogo, chyba że ręcznie zainstalujesz certyfikat główny.

_{Obowiązkowe wyłączenie odpowiedzialności, ponieważ jest to rekomendacja produktu: Nie jestem w żaden sposób powiązany ze StartSSL. Po prostu szczęśliwy klient.}

Czy to lepsze niż używanie własnego podpisu i zwykłego protokołu HTTP i dlaczego?

Certyfikaty z podpisem własnym przeszkolą użytkowników (i TY) do zwykłego klikania ostrzeżeń, co jest złym nawykiem. Co się stanie, jeśli ten samopodpisany certyfikat zostanie zastąpiony fałszywym certyfikatem? Czy Twoi użytkownicy zauważą, czy ślepo klikną kolejne okno dialogowe bezpieczeństwa?