A principal vantagem de um certificado público é que os hosts confiam automaticamente neles, enquanto os membros de um domínio interno confiam automaticamente em um certificado de domínio interno. No entanto, você ainda pode instalar manualmente o certificado assinado no domínio interno em computadores que não sejam do domínio e fazer com que eles confiem nele.
Outra limitação do certificado de domínio interno lida com seu conteúdo. Eles geralmente contêm pontos de distribuição da CRL que são atendidos por meio do LDAP do AD. Isso significa que os clientes só podem acessar o ponto de distribuição da CRL (CDP) se estiverem associados ao domínio interno e tiverem conectividade de rede para se comunicar com ele. Observe que você ainda pode adicionar um CDP publicamente acessível aos seus certificados, o que permitiria que qualquer pessoa o acessasse pela Internet. Se você fizesse isso, seria necessário veicular isso via HTTP em vez de LDAP. Naturalmente, você também seria responsável por hospedar essa CRL com segurança em um servidor da Web voltado para a Internet.
As implicações de segurança resumem-se ao seguinte:
- Você confia mais no certificado público do que em seu certificado interno?
- Existe uma chance maior de comprometimento da chave privada dos certificados de domínio internos em relação à do certificado público?