É uma boa ideia usar certificados SSL cacert em vez de certificados autoassinados na produção?

No trabalho, tenho várias interfaces da Web que usam http simples ou certificados autoassinados (interface de gerenciamento do balanceador de carga, wiki interno, cactos, ...).

Nenhum é acessível a partir de vlans / redes específicas externas.

Para uso doméstico, eu uso certificados SSL cacert .

Eu queria saber se devo sugerir ao meu empregador o uso de certificados SSL cacert em vez de certificados autoassinados e http simples. Alguém usa cacert ssl na produção? Quais são os prós / contras? Isso melhora a segurança? É mais fácil de gerenciar? Algo inesperado? Isso pode afetar as verificações qualys? Como posso convencê-los?

Certamente, os certificados pagos para sites públicos permaneceriam inalterados.

Editar:

(apenas curioso) O certificado SSL grátis das empresas não parece ser da classe 3. Eu tive que mostrar meu passaporte e estar presente fisicamente para obter a classe 3 de cacerts. Não há aviso nos navegadores para cada classe 1?

Enfim, eu teria a mesma pergunta sobre qualquer autoridade de certificação gratuita: é melhor do que usar http autoassinado e simples, e por quê ?

Eu faria isso para facilitar o gerenciamento, do lado do servidor. Algo que eu perdi?

Disclaimer : Eu não sou um membro da associação cacert , nem mesmo Assurer, apenas um usuário feliz e regular.

Eu recomendaria que, embora não haja nada de errado em usar certificados gratuitos, como no CACert, você provavelmente também não ganhará nada com isso.

Como eles não são confiáveis ​​por padrão, você ainda precisará instalar / implantar o certificado raiz em todos os seus clientes, que é a mesma situação em que você se certifica de certificados autoassinados ou certificados emitidos por uma CA interna.

A solução que eu prefiro (e uso) é uma Autoridade de Certificação interna e uma implantação em massa de seu certificado raiz em todas as máquinas de domínio. Ter controle sobre a autoridade de certificação usada facilita muito o gerenciamento de certificados, mesmo através de um site de portal. Com sua própria CA, você geralmente pode criar um pedido de certificado e um problema de certificado correspondente para que todos os seus servidores, sites e qualquer coisa que precise de um certificado possa obtê-lo automaticamente e ter a confiança de seus clientes quase imediatamente após ser colocado em seu ambiente, com sem esforço ou tarefas manuais da TI.

Obviamente, se você não tiver a tarefa de configurar e automatizar sua própria CA, usar um externo gratuito como o que você mencionou pode facilitar a sua vida, basta implantar um certificado raiz externo ... mas você provavelmente deve tentar fazer certo da primeira vez e configurar uma autoridade de certificação interna para seu domínio.

Eu sugeriria Certificados SSL gratuitos do StartSSL, que também são reconhecidos pelos navegadores modernos. Não tenho nada contra o CACert, exceto que não é necessária uma conta para emitir certificados, e esses certificados não são reconhecidos por ninguém, a menos que você instale manualmente o certificado raiz.

_{Isenção de responsabilidade obrigatória, pois esta é uma recomendação do produto: não sou afiliado ao StartSSL de forma alguma. Apenas um cliente feliz.}

É melhor do que usar http autoassinado e simples, e por quê?

Os certificados autoassinados treinarão seus usuários (e VOCÊ) a clicar nos avisos habitualmente, o que é um mau hábito. E se esse certificado autoassinado fosse substituído por um certificado não autorizado? Seus usuários notariam ou clicariam cegamente em mais uma caixa de diálogo de segurança?