Qual é a diferença entre um certificado SSL que gero e outro que compro?

A única diferença é qual autoridade de certificação assinou seu certificado - e, consequentemente, a resposta para "é que a CA confia nos navegadores por padrão".

Os navegadores têm um conjunto de certificados de autoridade de certificação nos quais confiam para assinar certificados. Se sua CA não estiver nesse conjunto, o usuário receberá um aviso de grande importância.

Nada mais em SSL, incluindo a criptografia, é alterado, mas esse aviso é ameaçador o suficiente para que você não possa executar um serviço comercial sem um certificado assinado por um dos conjuntos confiáveis de CAs.

A diferença é que o que você compra vem de uma fonte confiável.

Se você mesmo criar um, cada visitante precisará registrar o certificado como confiável no navegador.

Para expor as outras respostas, é útil saber que finalidade os certificados servem e como funcionam.

Quando você executa determinadas ações (na maioria das vezes navegando em páginas da Web seguras, isto é, HTTP S ou verificando a legitimidade dos arquivos), o computador precisa verificar se é confiável. Ele faz isso examinando o certificado de segurança do site (ou a assinatura digital do arquivo). Ele faz algumas contas criptográficas, mas para ter certeza de que ele não foi falsificado ou adulterado, ele tem que verificar com alguém .

Isso é feito verificando um servidor conhecido e confiável (é por isso que você não pode fazer essas verificações enquanto estiver off-line, mesmo se estiver em cache). O sistema se conecta a um CA (Autoridade de Certificação) do servidor externo e verifica se o certificado é válido (ele precisa saber se é real e se expirou). Quando um certificado é comprometido, eles precisam invalidá-lo, portanto, você precisa verificar se um certificado expirou.

Agora, quando você usa um certificado autoassinado, você é o único que sabe se é válido. Isso significa que, quando outros usuários navegam em seu site seguro ou baixam seus arquivos, eles não podem usar CAs padrão para verificar seu certificado. Eles precisam entrar em contato com o servidor (o que impede a finalidade - o que impediria os hackers de assinar vírus e executar seus próprios servidores certificados?). Para evitar isso, você precisaria que todos que usam seu certificado o instalem no armazenamento de certificados do sistema e na loja CA Raiz Confiável !

Isso tem dois problemas. Primeiro, requer que as pessoas executem manualmente a instalação do certificado (ninguém se incomoda com nada que exija que elas façam nada). Em segundo lugar, exige que eles executem ações de segurança assustadoras e avançadas que poderiam levar a problemas (mesmo que eles o façam, há avisos e sinalizadores suficientes no processo que provavelmente eles simplesmente fugirão).

Em resumo, o uso de um certificado auto-assinado é aceitável em algumas circunstâncias, como em uma rede doméstica ou em outra rede local, como em um laboratório ou escritório. No entanto, para a Internet em geral, não será suficiente e você precisará obter um assinado por uma das CAs maiores (de preferência uma das quais o certificado está incluído no Windows). Felizmente, existem vários para escolher e variam de preço de yay-i-can-afford-that para what-are-I-Bill-gates .

Figura 1: Importando um certificado

Figura2:AvisograndeeassustadorsobrecomoimportarumcertificadoparaaCAraizconfiável

Um certificado SSL faz uma coisa. Diz "esta chave pertence a este servidor". Se você gerar um certificado sozinho, isso significa que você está dizendo que sua chave pertence ao seu servidor. Mas quem confiasse em você para dizer que não precisaria do certificado. O ponto de um certificado de uma CA é para a CA dizer que a chave pertence ao seu servidor. Dessa forma, as pessoas que confiam nessa CA saberão que chegaram ao servidor que pretendiam alcançar.

Você pode pensar nisso como algo como uma carteira de motorista sendo usada para abrir uma conta bancária. A licença diz que sua foto acompanha seu nome e o banco confia no emissor da licença para não emitir licenças que não têm a imagem correta para nomear o mapeamento. Se você fizesse sua própria carteira de motorista, ninguém confiaria nela para mapear sua imagem para o seu nome, a menos que eles já confiassem em você, o que seria um tipo de derrota ao ponto de tê-la.

Você não precisa comprar um. Há CAs que os emitem gratuitamente, confirmando sua propriedade de um domínio por e-mail ou colocando um código específico em seu servidor da Web.