¿Los certificados de aceite de serpiente predeterminados de SSL son realmente aceite de serpiente en lugar de ser auténticos certificados honestos a buenos? [cerrado]

SSL genera certificados autofirmados de "aceite de serpiente" de forma predeterminada, por ejemplo en /etc/ssl/certs/ssl-cert-snakeoil.pem. Según Wikipedia , el aceite de serpiente es un método o producto criptográfico que se considera fraudulento o falso. ¿Hay algo falso en estos certificados? Claro, no están firmados por ninguna autoridad de certificación conocida, pero los certificados en sí mismos podrían ser certificados genuinos tan buenos como cualquier otro. Por ejemplo, podría estar distribuyendo la clave pública de mi servidor a todos mis clientes de forma segura en persona. Suponiendo esto, ¿hay algo digno de aceite de serpiente de los certificados generados, o el nombre es engañoso?

Recordar SSL cumple dos funciones muy importantes

1. Comunicación segura
2. Confiar

Cualquier certificado SSL autogenerado le ofrece 1. que permite el tráfico encriptado o, como usted dice, un certificado SSL válido.

Sin embargo, un certificado SSL autogenerado solo puede dar confianza a las personas que confían en usted. La razón por la cual los certificados SSL son generados por terceros confiables es para proporcionar el número 2. Su navegador confía en ellos y confían en usted. Si lo genera usted mismo, podría afirmar que es www.microsoft.com y si alguien confiara en usted, lo sería.

Además, como se señaló en los comentarios, esta es la razón por la que no debe confiar en alguien certificado autofirmado para su servidor, ya que su navegador aparentemente confiará en cualquier certificado futuro firmado por el mismo servidor.

Es por eso que los certificados de aceite de serpiente son autogenerados.

Actualización: El servicio LetsEncrypt junto con un servidor web moderno como Caddy elimina casi toda la dificultad de obtener y usar certificados TLS, ¡así que ya no es necesario tener certificados de aceite de serpiente!

Los certificados autofirmados cifrarán su comunicación de la misma manera que los estándares. Entonces el cifrado no es el problema.

Los certificados también se pueden usar para verificar la identidad. Se supone que funciona cuando se conecta de forma segura a un servidor, ese servidor le presenta su certificado a usted o su navegador, y luego usted o su navegador deciden si puede confiar en la afirmación de identidad del servidor.

Los certificados pueden ser firmados por otros certificados de "nivel superior", generalmente llamados autoridades de certificación. Entonces, si el certificado del servidor está firmado por una CA en la que usted o su navegador confía, la identidad se considera válida.

La mayoría de los principales navegadores vienen con una serie de certificados raíz en los que confían automáticamente, de Verisign y otras CA conocidas.

Con un certificado autofirmado, dado que no está firmado por una CA externa sino por la misma entidad que hizo el certificado, no puede depender de nadie más para verificar la identidad, excepto el que generó el certificado. Es equivalente a que alguien imprima su propia tarjeta de identificación y se la entregue para verificar su identidad. Esto no es necesariamente un problema, a pesar de las advertencias del navegador, si sabe / confía en quién generó el certificado o lo hizo usted mismo.

Wikipedia también dice: "El aceite de serpiente es una expresión que originalmente se refería a productos de salud fraudulentos o medicamentos no probados, pero se ha referido a cualquier producto con calidad o beneficio cuestionable o no verificable".

Es la calidad no verificable lo que es importante en este contexto. Si navega por un sitio SSL que no tiene una cadena de certificados a una Autoridad de Certificación confiable, entonces no puede confiar en SSL para verificar que el sitio es propiedad y está operado por la persona u organización propietaria del dominio (como se muestra en su barra de URL del navegador).

Los navegadores web modernos muestran una advertencia de seguridad cuando navegan por sitios con certificados autofirmados ("aceite de serpiente") porque carecen de esta cadena de certificados de confianza. Esto puede ser molesto en una Intranet privada, por ejemplo, pero de alguna manera protege a las personas de ingresar sus datos privados e información de pago en sitios de phishing.