Apakah ide yang baik untuk menggunakan sertifikat SSL cacert daripada yang ditandatangani sendiri dalam produksi?

Di tempat kerja, saya memiliki banyak antarmuka web yang menggunakan http sederhana atau sertifikat yang ditandatangani sendiri (antarmuka manajemen penyeimbang beban, wiki internal, kaktus, ...).

Tidak ada yang dapat dicapai dari vlan / jaringan khusus luar.

Untuk penggunaan di rumah, saya menggunakan sertifikat SSL cacert .

Saya bertanya-tanya apakah saya harus menyarankan majikan saya untuk menggunakan sertifikat SSL cacert, bukan sertifikat yang ditandatangani sendiri dan http sederhana. Adakah yang menggunakan cacert ssl dalam produksi? Apa pro / kontra? Apakah ini meningkatkan keamanan? Apakah lebih mudah dikelola? Adakah yang tidak terduga? Bisakah itu memengaruhi pemindaian qualys? Bagaimana saya bisa meyakinkan mereka?

Tentu saja, sertifikat berbayar untuk situs web publik akan tetap tidak berubah.

Edit:

(hanya ingin tahu) Sertifikat ssl gratis dari perusahaan tampaknya bukan kelas 3. Saya harus menunjukkan paspor saya dan hadir secara fisik untuk mendapatkan kelas 3 dari cacerts. Apakah tidak ada peringatan di browser untuk setiap kelas 1?

Lagi pula, saya akan memiliki pertanyaan yang sama tentang CA gratis: Apakah lebih baik daripada menggunakan http yang ditandatangani sendiri dan polos, dan mengapa ?

Saya akan melakukannya untuk kemudahan manajemen, sisi server. Ada yang saya lewatkan?

Penafian : Saya bukan anggota asosiasi cacert , bahkan Assurer, bukan pengguna biasa yang bahagia.

Saya akan menyarankan bahwa sementara tidak ada yang salah dengan menggunakan sertifikat gratis, seperti dari CACert, Anda mungkin tidak akan mendapatkan apa pun dari melakukannya.

Karena mereka bukan default yang dipercayai oleh apa pun, Anda masih harus menginstal / menggunakan sertifikat root untuk semua klien Anda, yang merupakan situasi yang sama dengan ketika Anda menandatangani sertifikat yang ditandatangani sendiri atau sertifikat yang dikeluarkan oleh CA internal.

Solusi yang saya sukai (dan gunakan) adalah Otoritas Sertifikat internal dan penyebaran massal sertifikat root ke semua mesin domain. Memiliki kontrol atas otoritas sertifikat yang Anda gunakan membuat manajemen sertifikat jauh lebih mudah daripada melalui situs portal. Dengan CA Anda sendiri, Anda biasanya dapat membuat skrip permintaan sertifikat dan masalah sertifikat yang sesuai sehingga semua server, situs, dan apa pun yang membutuhkan sertifikat dapat mendapatkannya secara otomatis dan dipercaya oleh klien Anda segera setelah dimasukkan ke lingkungan Anda, dengan tidak ada upaya atau tugas manual oleh TI.

Tentu saja, jika Anda tidak siap untuk mengatur dan mengotomatisasi CA Anda sendiri, maka menggunakan yang gratis eksternal seperti yang Anda sebutkan bisa membuat hidup Anda sedikit lebih mudah, hanya harus menggunakan satu sertifikat root eksternal ... tetapi Anda mungkin harus mencoba melakukannya dengan benar pertama kali, dan mengatur CA internal untuk domain Anda.

Saya akan menyarankan Sertifikat SSL gratis dari StartSSL, yang juga dikenali oleh browser modern. Saya tidak punya apa-apa terhadap CACert kecuali bahwa ia tidak memerlukan apa-apa selain akun untuk menerbitkan sertifikat, dan sertifikat itu tidak dikenali oleh siapa pun kecuali Anda secara manual menginstal sertifikat root.

_{Penafian wajib karena ini adalah rekomendasi produk: Saya tidak berafiliasi dengan StartSSL dengan cara apa pun. Hanya pelanggan yang bahagia.}

Apakah lebih baik daripada menggunakan http yang ditandatangani sendiri dan polos, dan mengapa?

Sertifikat yang ditandatangani sendiri akan melatih pengguna Anda (dan ANDA) untuk mengklik melalui peringatan yang biasanya, yang merupakan kebiasaan buruk. Bagaimana jika sertifikat yang ditandatangani sendiri diganti dengan sertifikat jahat? Apakah pengguna Anda akan melihat, atau mereka akan mengklik secara buta melalui dialog keamanan lainnya?