Sto lavorando su un piccolo progetto M2M (alcune centinaia di nodi collegati a un singolo cloud server) e voglio utilizzare l'autenticazione del certificato client, con ogni cliente che ottiene il proprio certificato unico al momento della produzione. Durante lo sviluppo abbiamo utilizzato un file .crt e .key autofirmato per generare i certificati client e tutto ha funzionato bene. Possiamo rilasciare e revocare certificati in base alle esigenze e il nostro servizio cloud fa la cosa giusta per rifiutare la connessione se il certificato del cliente non è valido o revocato.
Ora ci stiamo avvicinando al tempo di produzione, e mi chiedo se questo è un approccio abbastanza sicuro, o se c'è un certo valore nell'acquistare un pacchetto PKI da una CA "reale". I nodi client saranno distribuiti in tutto il mondo e si collegheranno tramite connessioni Internet regolari (senza VPN, probabilmente con molte connessioni NAT), se questo fa alcuna differenza.