È una buona idea usare certificati SSL cacert invece di quelli autofirmati in produzione?

Al lavoro, ho un sacco di interfacce Web che utilizzano semplici certificati HTTP o autofirmati (interfaccia di gestione del bilanciamento del carico, wiki interno, cactus, ...).

Nessuno è raggiungibile da vlans / network specifici esterni.

Per uso domestico, utilizzo i certificati SSL cacert .

Mi chiedevo se avrei dovuto suggerire al mio datore di lavoro di utilizzare certificati SSL cacert invece di certificati autofirmati e semplici http. Qualcuno usa cacert ssl in produzione? Quali sono i pro / contro? Migliora la sicurezza? È più facile da gestire? Qualcosa di inaspettato? Può influire sulle scansioni di qualys? Come posso convincerli?

Naturalmente, i certificati a pagamento per i siti Web pubblici rimarrebbero invariati.

Modificare :

(solo curioso) Il certificato SSL gratuito delle aziende non sembra essere di classe 3. Ho dovuto mostrare il mio passaporto ed essere presente fisicamente per ottenere la classe 3 dai cacerts. Non ci sono avvisi nei browser per ogni classe 1?

Ad ogni modo, avrei la stessa domanda su qualsiasi CA gratuita: è meglio dell'uso di http autofirmato e semplice, e perché ?

Lo farei per facilità di gestione, lato server. Qualcosa che mi mancava?

Disclaimer : non sono un membro dell'associazione Cacert , nemmeno Assurer, solo un normale utente felice.

Vorrei consigliare che, sebbene non ci sia nulla di sbagliato nell'utilizzo di certificati gratuiti, come da CACert, probabilmente non otterrete nulla neanche dal farlo.

Dal momento che non sono ritenuti predefiniti da nulla, dovrai comunque installare / distribuire il certificato radice su tutti i tuoi client, che è la stessa situazione in cui ti troveresti con certificati autofirmati o certificati emessi da una CA interna.

La soluzione che preferisco (e utilizzo) è un'autorità di certificazione interna e una distribuzione di massa del suo certificato radice su tutti i computer di dominio. Avere il controllo dell'autorità di certificazione che si utilizza rende la gestione dei certificati molto più semplice che anche attraverso un sito portale. Con la tua CA, puoi generalmente scrivere una richiesta di certificato e un corrispondente problema di certificato in modo che tutti i tuoi server, siti e tutto ciò che necessiti di un certificato possano ottenerlo automaticamente ed essere attendibili dai tuoi clienti quasi immediatamente dopo essere stati inseriti nel tuo ambiente, con nessuno sforzo o attività manuale da parte dell'IT.

Naturalmente, se non hai il compito di configurare e automatizzare la tua CA, l'utilizzo di una CA esterna libera come quella che hai menzionato potrebbe semplificarti la vita, devi solo distribuire un certificato radice esterno ... ma probabilmente dovresti provare a farlo bene la prima volta e configurare una CA interna per il tuo dominio.

Vorrei suggerire certificati SSL gratuiti da StartSSL, che sono riconosciuti anche dai browser moderni. Non ho nulla contro CACert tranne che non serve altro che un account per emettere certificati, e quei certificati non sono riconosciuti da nessuno a meno che non installi manualmente il certificato root.

_{Dichiarazione di non responsabilità obbligatoria poiché si tratta di una raccomandazione del prodotto: non sono affiliato a StartSSL in alcun modo. Solo un cliente felice.}

È meglio dell'uso di http autofirmato e semplice, e perché?

I certificati autofirmati istruiranno i tuoi utenti (e TU) a fare clic abitualmente sugli avvisi, che è una cattiva abitudine. Che cosa succede se quel certificato autofirmato è stato sostituito con un certificato canaglia? I tuoi utenti se ne accorgerebbero o farebbero clic ciecamente su un'altra finestra di dialogo di sicurezza?