Esistono numerosi portali basati sul Web che intendono rendere l'installazione di certificati SSL gratuiti di facile utilizzo per utenti non tecnici (ZeroSsl, SSLforFree). Per mancanza di un termine migliore, sto chiamando questi servizi wrapper.
Come utente relativamente non tecnico, la mia domanda è che questi servizi wrapper sono insicuri, in quanto la CSR privata potrebbe essere esposta a una terza parte?
Devi assicurarti di mantenere privata la tua chiave privata. È così semplice.
Una CSR (richiesta di certificazione del certificato) non contiene la tua chiave privata.
Servizi come quelli che menzioni spesso offrono due modalità di funzionamento:
Mentre quest'ultimo (che generano il CSR per te) è solitamente inteso come caratteristica di convenienza in quanto non devi mantenere gli strumenti adeguati per realizzare una CSR sul tuo computer, significa in pratica che genereranno un CSR. chiave privata per te, che allo stesso tempo significa che potrebbero facilmente conservare una copia della tua chiave privata.
E chiunque sia in possesso della tua chiave privata potrebbe emettere certificati aggiuntivi con il tuo nome o revocare i certificati.
Che significa in parole povere: finché ti assicuri che la tua chiave privata non lasci mai la tua macchina (ad esempio, crei il CSR localmente sul tuo computer e lo uplopad) puoi utilizzare uno qualsiasi di questi servizi senza preoccupazioni.
Se lo lasci a loro per creare la chiave privata per te, devi fidarti di loro che non causeranno alcun danno con esso.
@ La risposta di TorstenS è corretta ma penso incompleta. Ho scritto un post su link su questo argomento. Il riassunto è:
Quindi per utilizzare questi servizi hai bisogno di fidarti della persona / azienda dietro di esso. E alcuni di questi servizi hanno pratiche di sicurezza davvero scarse.
E, naturalmente, con questi servizi, non puoi automatizzare.
Leggi altre domande sui tag encryption tls certificates letsencrypt