Ho un piccolo sito web personale che desidero servire in modo sicuro tramite HTTPS. Al momento non desidero utilizzare una CA di terze parti per firmare i miei certificati. Stavo leggendo questo documento su generando un autofirmato cert .
Ho tre domande.
-
Il documento mostra due modi: (1A) Generare il proprio certificato autofirmato. e (1B) Generare il proprio certificato / CA e quindi utilizzare la CA per firmare il certificato.
Non capisco quale sia la differenza tra i due. Qual è il punto di generare la propria CA se nessuno dei browser si fida di esso (a differenza dei certificati firmati da Verisign)? (1B) è usato per prevenire gli attacchi MITM? In tal caso, dovrei usare (1B) oltre (1A)?
Oltre a gestire / revocare più certificati (se li uso), una CA autofirmata sembra inutile?
-
Ho notato che il documento utilizza il cifrario des3. Sarebbe possibile usare la cifratura aes-256, a meno che non ci sia una buona ragione per usare des3? (Anche come faccio a fare questo?)
-
Questo thread fatto una distinzione tra l'utilizzo di chiavi a 2048 bit e chiavi a 256 bit. Capisco che cosa la risposta sta dicendo in una certa misura (che le chiavi pubbliche (2048 bit) sono utilizzate per crittografare le chiavi simmetriche (256 bit) al fine di scambiare le chiavi tra server e client). Ma non capisco come questo viene applicato nel contesto del doc. Nel documento, vedo questa riga:
openssl genrsa -des3 -out server.key 4096
Questa riga significa che sta generando una chiave simmetrica (des3) e quindi generando una chiave pubblica (RSA 4096 bit)?