I certificati SSL, in generale, utilizzano un modello di "catena di fiducia": un'autorità di certificazione attendibile (CA) ottiene la prova che un'azienda come Amazon possiede amazon.com e rilascia un certificato SSL.
Tuttavia, i certificati possono essere costosi - e non ha senso spendere quel tipo di denaro, ad esempio, su un sito web personale. Ma sempre più persone sostengono che il traffico web dovrebbe sempre essere criptato perché i computer sono in grado di gestirli e ti protegge su reti pubbliche wifi es starbucks. Quindi puoi usare SSL con un certificato "autofirmato" ma gli utenti riceveranno un messaggio sgradevole dicendo che il certificato non è affidabile poiché è "autofirmato" e non da un'autorità "fidata". Il problema è che ci sono stati numerosi casi in cui le autorità "fidate" hanno commesso errori e consegnato certificati SSL ai "cattivi" per così dire. Ma in realtà, un certificato autofirmato non è significativamente meno sicuro di un certificato firmato da una CA - nel senso che il tuo traffico è crittografato e inviato al server web e decifrato lì. Significa semplicemente che nessuno "fidato" controllato l'identità del server web in questione.
C'è un modo per fare un modello di "web of trust" con certificati SSL simili alle chiavi PGP? Cioè se conosco qualcuno personalmente e so che sono l'amministratore del sito www.example.com e hanno un certificato autofirmato, posso "firmare" il certificato per dire che mi fido di loro. Quindi, quando gli utenti visitano un sito Web autofirmato, diranno che la persona può essere considerata attendibile in base alla loro posizione nella "rete di fiducia".