Ho usato lo strumento StartCom per generare CSR e chiavi private per i miei siti web, ma ora sono preoccupato dopo aver letto dei problemi di attendibilità di StartCom. Sono sicuro che le mie chiavi e i certificati privati sono sicuri o dovrei iniziare a preoccuparmi?
StartCom è un'autorità di certificazione legittima ritenuta affidabile dalla maggior parte di tutti i browser e sistemi operativi per emettere certificati, quindi è improbabile che eventuali problemi di attendibilità di cui stai leggendo siano abbastanza gravi da mettere a rischio qualsiasi dato (altrimenti potrebbero perdere il loro stato di fiducia).
Se StartCom ha effettivamente avuto accesso alla tua chiave privata dipende da come è stata generata la tua chiave privata. Se li hai generati localmente e hai caricato una richiesta di firma del certificato (CSR) come di solito è consigliabile, non dovresti avere nulla di cui preoccuparti poiché un CSR contiene solo la tua chiave pubblica, non il tuo privato. Se si optasse per l'approccio meno ottimale di consentire a StartCom di generare la propria chiave, in teoria si potrebbe avere accesso ad essa se avessero intenzioni malevole. Se sei preoccupato, ottieni un nuovo certificato usando un CSR auto-generato.
In alternativa a StartCom, potresti voler consultare Let's Encrypt per i certificati gratuiti.
Leggi altre domande sui tag certificates certificate-authority