Quando parli di sicurezza, tutta questa roba SSL autofirmata non ha nulla in comune con la sicurezza. Per implementare la corretta configurazione SSL per la rete interna, devi:
- Crea il tuo server CA (a seconda della piattaforma, è possibile utilizzare diversi prodotti. Ad esempio, in Windows è possibile utilizzare Servizi certificati Active Directory, in Linux è possibile utilizzare software CA come EJBCA). Il certificato CA sarà autofirmato
- Fornisci la migliore sicurezza per il tuo server CA: accesso fisico e remoto rigoroso al server.
- Distribuisci il certificato dell'autorità di certificazione principale autofirmato sull'archivio di fiducia in tutti i client interessati
- Utilizzare questa CA per emettere certificati per client e server Web
- Conservare le informazioni di revoca per questi certificati (il server CA pubblicherà periodicamente CRL)
Il motivo è: separazione delle preoccupazioni e sicurezza. Il servizio Web è di default meno sicuro. Ci sono più possibilità che la chiave privata passi dal server web, perché non è possibile garantire una sicurezza adeguata a causa della specializzazione del server web (essere pubblica). Con una CA dedicata puoi fornire una maggiore sicurezza, in modo che meno persone possano accedervi sia fisicamente che a livello di programmazione.
Se perdi il certificato SSL, puoi revocarlo e emetterne uno nuovo. È richiesta una riconfigurazione minima del server. Non è richiesta alcuna riconfigurazione del client. Se si utilizza il certificato CA sul server Web, sarà necessario ricreare tutti i certificati server / client e riconfigurarli tutti in caso di compromissione della chiave.