Quelle est la différence entre un certificat SSL que je génère et un certificat que j'achète ?

La seule différence est l'autorité de certification qui a signé votre certificat - et, par conséquent, la réponse à la question "les navigateurs font-ils confiance à cette autorité de certification par défaut".

Les navigateurs disposent d'un ensemble de certificats d'autorité de certification auxquels ils font confiance pour signer les certificats. Si votre AC ne figure pas dans cette liste, l'utilisateur reçoit un gros avertissement.

Rien d'autre dans SSL, y compris le cryptage, n'est modifié - mais cet avertissement est suffisamment menaçant pour que vous ne puissiez pas exécuter un service commercial sans un certificat signé par l'une des AC de confiance.

La différence est que celui que vous achetez provient d'une source fiable.

Si vous en créez un vous-même, chaque visiteur doit enregistrer le certificat comme étant de confiance dans le navigateur.

Pour développer les autres réponses, il faut savoir à quoi servent les certificats et comment ils fonctionnent.

Lorsque vous effectuez certaines actions (le plus souvent la navigation sur des pages web sécurisées, c'est-à-dire HTTP S ou de vérifier la légitimité des fichiers), l'ordinateur doit vérifier s'il est fiable. Il le fait en examinant le certificat de sécurité du site web (ou la signature numérique du fichier). Il effectue quelques calculs cryptographiques, mais pour être sûr qu'il n'a pas été falsifié ou altéré, il doit finalement vérifier auprès de quelqu'un d'autre .

Cela se fait en vérifiant un serveur connu et digne de confiance (c'est la raison pour laquelle vous ne pouvez pas effectuer de telles vérifications hors ligne, même en cas de mise en cache). Le système se connecte à une autorité de certification (CA) externe et vérifie si le certificat est valide (il doit savoir s'il est réel et s'il a expiré). Lorsqu'un certificat est compromis, il doit être invalidé. Vous devez donc être en mesure de vérifier si un certificat a expiré.

Désormais, lorsque vous utilisez un certificat auto-signé, vous êtes le seul à savoir s'il est valide. Cela signifie que lorsque d'autres utilisateurs naviguent sur votre site sécurisé ou téléchargent vos fichiers, ils ne peuvent pas utiliser les AC standard pour vérifier votre certificat. Ils doivent contacter votre serveur (ce qui va à l'encontre du but recherché - qu'est-ce qui empêcherait les pirates de signer des virus et de faire fonctionner leurs propres serveurs de certificats ?) Pour éviter cela, vous devez faire en sorte que tous ceux qui doivent utiliser votre certificat l'installent dans le magasin de certificats de leur système, et dans la base de données de l'AC. AC racine de confiance magasin à cela !

Cela pose deux problèmes. Tout d'abord, il faut installer manuellement le certificat dans l'ordinateur (personne ne se soucie de ce qui lui demande de faire quelque chose). Deuxièmement, elle leur demande d'effectuer des actions de sécurité effrayantes et avancées qui pourraient potentiellement conduire à des problèmes (même s'ils le font, il y a suffisamment d'avertissements et de drapeaux dans le processus pour qu'ils s'enfuient).

En résumé, l'utilisation d'un certificat auto-signé est acceptable dans certaines circonstances telles qu'un réseau domestique ou un autre réseau local comme dans un laboratoire ou un bureau. Cependant, pour l'Internet en général, il ne sera pas suffisant et vous devrez en obtenir un signé par l'une des plus grandes AC (de préférence l'une de celles dont le certificat est inclus dans Windows). Heureusement, il y en a plusieurs parmi lesquelles vous pouvez choisir et leur prix s'échelonne de yay-I-can-afford-that a what-am-I-Bill-gates .

Figure 1 : Importation d'un certificat

Figure 2 : Un grand et effrayant avertissement sur l'importation d'un certificat dans l'UE AC racine de confiance

Un certificat SSL fait une chose. Il dit "cette clé appartient à ce serveur". Si vous générez vous-même un certificat, cela signifie que vous dites que votre clé appartient à votre serveur. Mais quiconque vous fait confiance pour dire cela n'a pas besoin du certificat. L'intérêt d'un certificat d'une autorité de certification est que cette dernière affirme que la clé appartient à votre serveur. Ainsi, les personnes qui font confiance à l'autorité de certification sauront qu'elles ont atteint le serveur qu'elles voulaient atteindre.

C'est un peu comme si un permis de conduire était utilisé pour ouvrir un compte bancaire. Le permis stipule que votre photo correspond à votre nom, et la banque fait confiance à l'émetteur du permis pour ne pas délivrer de permis dont la correspondance entre la photo et le nom n'est pas correcte. Si vous fabriquiez votre propre permis de conduire, personne ne lui ferait confiance pour associer votre photo à votre nom, à moins qu'il ne vous fasse déjà confiance, ce qui irait à l'encontre du but recherché.

Vous n'avez pas besoin d'en acheter un. Il existe des autorités de certification qui les délivrent gratuitement, en confirmant votre propriété d'un domaine par courrier électronique ou en vous demandant de placer un code particulier sur son serveur web.