Os certificados de óleo de cobra padrão do SSL são realmente óleo de cobra em vez de serem certificados genuínos de honestidade? [fechadas]

O SSL gera certificados autoassinados "óleo de cobra" por padrão, por exemplo, em /etc/ssl/certs/ssl-cert-snakeoil.pem. De acordo com a Wikipedia , o óleo de cobra é um método ou produto criptográfico considerado fraudulento ou falso. Existe algo falso nesses certificados? Certamente, eles não são assinados por nenhuma autoridade de certificação conhecida, mas os certificados em si ainda podem ser certificados genuínos tão bons quanto os outros. Por exemplo, eu posso estar distribuindo a chave pública do meu servidor para todos os meus clientes com segurança pessoalmente. Supondo isso, existe algo digno de óleo de cobra nos certificados gerados ou o nome é enganoso?

O lembrete SSL serve duas funções muito importantes

1. Comunicação segura
2. Confiar em

Qualquer certificado SSL gerado automaticamente fornece 1. que permite tráfego criptografado ou, como você diz, um certificado SSL válido.

No entanto, um certificado SSL auto-gerado só pode dar Confiança para pessoas que confiam em você. O motivo para certificados SSL serem gerados por terceiros confiáveis ​​é fornecer o número 2. Seu navegador confia neles e eles confiam em você. Se você o gerar, poderá reivindicar ser www.microsoft.com e, se alguém confiasse em você, seria.

Também conforme indicado nos comentários, é por isso que você não deve confiar em alguém auto-assinado como certificado para o servidor, pois o navegador aparentemente confiará em futuros certificados assinados pelo mesmo servidor.

É por isso que auto-geradas são ceras de óleo de cobra.

Atualização: o serviço LetsEncrypt , juntamente com um servidor da web moderno, como o Caddy, tira quase toda a dificuldade de obter e usar certificados TLS, portanto, não há mais necessidade de certificados de óleo de cobra!

Os certificados autoassinados criptografarão sua comunicação da mesma forma que os padrões. Portanto, a criptografia não é o problema.

Os certificados também podem ser usados ​​para verificar a identidade. Como ele deve funcionar é que, quando você se conecta com segurança a um servidor, esse servidor apresenta seu certificado a você ou a seu navegador e, em seguida, você ou seu navegador decidem se pode confiar na asserção de identidade do servidor.

Os certificados podem ser assinados por outros certificados "de nível superior", geralmente chamados de autoridades de certificação. Portanto, se o certificado do servidor for assinado por uma CA em que você ou seu navegador confia, a identidade é considerada válida.

A maioria dos principais navegadores vem com vários certificados raiz em que eles confiam automaticamente, da Verisign e de outras CAs conhecidas.

Com um certificado autoassinado, uma vez que não é assinado por uma autoridade de certificação de terceiros, mas pela mesma entidade que fez o certificado, você não pode depender de mais ninguém para verificar a identidade, exceto a pessoa que gerou o certificado. É equivalente a alguém imprimindo seu próprio cartão de identificação e dando a você a verificação de identidade. Isso não é necessariamente um problema, apesar dos avisos do navegador, se você souber / confiar em quem gerou o certificado ou fez você mesmo.

A Wikipedia também diz: "O óleo de cobra é uma expressão que originalmente se referia a produtos de saúde fraudulentos ou medicamentos não comprovados, mas passou a se referir a qualquer produto com qualidade ou benefício questionável ou inverificável".

É a qualidade inverificável que é importante neste contexto. Se você procurar um site SSL que não tenha uma cadeia de certificados em uma Autoridade de Certificação confiável, não poderá confiar no SSL para verificar se o site pertence e é operado pela pessoa ou organização que possui o domínio (conforme exibido em seu barra de URL do navegador).

Os navegadores modernos exibem um aviso de segurança ao navegar em sites com certificados autoassinados ("óleo de cobra") porque não possuem essa cadeia de certificados confiável. Isso pode ser irritante em uma intranet privada, por exemplo, mas ajuda a proteger as pessoas de inserirem dados particulares e informações de pagamento em sites de phishing.