Является ли хорошей идеей использовать SSL-сертификаты cacert вместо самозаверяющих в производстве?

На работе у меня есть несколько веб-интерфейсов, которые используют простые http или самозаверяющие сертификаты (интерфейс управления балансировщиком нагрузки, внутренняя вики, cacti, ...).

Ни один из них не доступен вне определенных конкретных сетей / сетей.

Для домашнего использования я использую сертификаты cacert SSL.

Мне было интересно, должен ли я предложить своему работодателю использовать сертификаты cacert SSL вместо самозаверяющих сертификатов и простого http. Кто-нибудь использует cacert ssl в производстве? Какие плюсы / минусы? Улучшает ли это безопасность? Это проще в управлении? Что-нибудь неожиданное? Может ли это повлиять на качественное сканирование? Как я могу убедить их?

Конечно, платные сертификаты для публичных сайтов останутся без изменений.

Редактировать :

(просто любопытно) Бесплатный сертификат ssl от компаний, похоже, не относится к классу 3. Мне нужно было показать свой паспорт и присутствовать физически, чтобы получить класс 3 от каскадеров. Разве в браузерах нет предупреждений для каждого класса 1?

Во всяком случае, у меня возник бы тот же вопрос о любом свободном CA: это лучше, чем использовать самоподписанный и простой http, и почему ?

Я бы сделал это для простоты управления на стороне сервера. Что-нибудь, что я пропустил?

Отказ от ответственности : я не член ассоциации cacert , даже Assurer, просто обычный счастливый пользователь.

Я бы посоветовал, что хотя нет ничего плохого в использовании бесплатных сертификатов, например, от CACert, вы, вероятно, ничего не получите от этого.

Поскольку они по умолчанию ничем не доверяют, вам все равно необходимо установить / развернуть корневой сертификат на всех ваших клиентах, что является той же ситуацией, в которой вы были бы с самозаверяющими сертификатами или сертификатами, выданными внутренним центром сертификации.

Решение, которое я предпочитаю (и использую), - это внутренний центр сертификации и массовое развертывание его корневого сертификата на всех машинах домена. Контроль над центром сертификации, который вы используете, делает управление сертификатами намного проще, чем даже через сайт портала. С помощью своего собственного центра сертификации вы можете, как правило, составить сценарий запроса сертификата и соответствующей проблемы с сертификатом, чтобы все ваши серверы, сайты и все, что нуждается в сертификате, могли автоматически получать его и доверять вашим клиентам почти сразу после помещения в вашу среду. никаких усилий или ручных задач со стороны ИТ.

Конечно, если вы не справляетесь с задачей настройки и автоматизации своего собственного ЦС, то использование внешнего бесплатного, такого как тот, который вы упомянули, может немного упростить вашу жизнь, требуя только одного внешнего корневого сертификата ... но вам, вероятно, следует попытаться сделать это правильно с первого раза и настроить внутренний CA для вашего домена.

Я бы предложил бесплатные SSL-сертификаты от StartSSL, которые также распознаются современными браузерами. Я ничего не имею против CACert, за исключением того, что для выдачи сертификатов не требуется ничего, кроме учетной записи, и эти сертификаты никем не распознаются, если вы вручную не установите корневой сертификат.

_{Обязательный отказ от ответственности, так как это рекомендация продукта: я никоим образом не связан со StartSSL. Просто счастливый клиент.}

Это лучше, чем использовать самоподписанный и простой http, и почему?

Самозаверяющие сертификаты научат ваших пользователей (и вас) привычно перелистывать предупреждения, что является плохой привычкой. Что если этот Самозаверяющий сертификат был заменен мошенническим сертификатом? Заметят ли ваши пользователи или они вслепую щелкают через еще один диалог безопасности?