Usar certificado SSL pessoal criado sozinho?

Você é livre para gerar seu próprio certificado SSL. Esteja ciente de que seus usuários receberão uma mensagem de aviso assustadora dizendo que o certificado não pode ser verificado. Isso vai incomodar muitos usuários. Alguns podem simplesmente sair ou ligar para sua linha de suporte, e ambos podem custar-lhe dinheiro.

Os certificados SSL têm duas finalidades:

1. Para ativar a criptografia
2. Para verificar se a pessoa com quem você está falando realmente é essa pessoa.

Um certificado auto-assinado só realiza o primeiro propósito, a menos que você tenha um meio de as pessoas verificarem o certificado, como dar-lhes uma cópia do público em pessoa para que possam adicioná-lo ao seu certificado confiável.

A parte de verificação garante que, por exemplo, I não gerou um certificado com o nome do seu site, depois seqüestra o DNS ou a conexão de rede do seu cliente e os direciona para meu me um certificado para o seu website.

Para sites internos, ou pequenos, onde você pode facilmente fazer com que seus usuários instalem um certificado, um auto-assinado funciona bem. Para um site voltado para o público, é praticamente inaceitável. Mesmo que ele permita a criptografia, isso não prova que você é quem você diz ser. E isso gera uma mensagem de erro BIG SCARY. Só isso já é motivo suficiente para pagar os poucos dólares por um certificado confiável válido.

Quanto aos certificados de validação estendidos - não há como fazer o seu próprio. Os navegadores têm uma lista muito específica de quais certificados raiz podem ter validação estendida e que geralmente não podem ser configurados pelo usuário. Curta de reprogramação, compilação e distribuição de sua própria cópia de chrome ou firefox, não será uma opção gratuita.

but a SSL certificate will increase they trust to the site. I don't care if some company will take responsibility and appear on my certificate info.

Isso é realmente comum (infelizmente) em empresas que implantam sites habilitados para SSL internamente para seus funcionários (SSL VPN vem à mente) ou externamente (extranet).

Com um certificado auto-assinado, o que você está dizendo é:

"Se você confia em me , entre!"

... e a maioria dos navegadores avisará o usuário para verificar a confiança. Alguns simplesmente escolherão confiar permanentemente no site e no certificado (mais uma vez comum em aplicativos / sites internos da empresa).

Com um certificado confiável de terceiros, o que você está dizendo é essencialmente:

"Se você confia em insira o fornecedor de certificados de terceiros , entre!"

Por padrão, os navegadores / SO 'têm uma lista (atualizada de tempos em tempos) de fornecedores confiáveis de certificados. Essa lista permite que o navegador (e, portanto, o usuário) confie que um certificado é o que ele diz ser e é emitido para / para o que ele diz ser. Você pode pensar nisso como um notário público. A terceira parte está lá simplesmente para dizer "Sim, eu emiti um certificado com base na validade da informação no momento".

Portanto, se você optar por implantar um certificado autoassinado ou não, depende muito de você e de seu caso / necessidade. Você precisará decidir se seus clientes / usuários se importarão ou precisarão da "garantia" que um certificado de terceiros válido pode fornecer.

Se você quiser um certificado SSL gratuito, o melhor lugar que encontrei é o StartSSL . Não é tão amigável como outros lugares, mas é livre para certificados SSL básicos e baixo preço uma taxa de tempo para os outros, vale a pena. Quanto à validação estendida, todas as empresas que as oferecem exigem prova da presença legal e física de um negócio.