La nostra azienda utilizza un server web con un paio di siti Web su di esso (privato e pubblico, su HTTP e HTTPS, alcuni a basso rischio e alcuni ad alto rischio compresi i pagamenti online o altri dati sensibili, ad esempio).
Nel nostro ultimo progetto, abbiamo comunicato con un'azienda partner tramite servizi web. Volevano utilizzare i propri certificati, emessi da loro stessi, per proteggere la connessione. Quindi abbiamo dovuto installare il loro certificato di root "PrivateCompany Root CA" sul nostro server web.
Quanto è grave questo esattamente? In quali scenari la nostra sicurezza può essere manomessa?