Tenemos un proyecto Java EE en GlassFish que contiene una pantalla de inicio de sesión que queremos proteger a través de SSL.Certificado autofirmado en producción
¿Cuál es la desventaja de usar un certificado autogenerado en lugar de uno firmado desde una CA en producción? ¿Le dará advertencias y una mala experiencia al usuario final?
Sí, un usuario que navega por el sitio de inicio de sesión recibirá una advertencia de certificado en su navegador cada vez.
Si la aplicación solo se utilizará dentro de un grupo de usuarios cerrado (digamos dentro de una empresa), puede mitigar esto agregando el certificado autofirmado al conjunto de certificados de confianza de cada usuario (en el navegador o en el nivel del sistema operativo, depende de la situación particular).
Pero si su aplicación normalmente está abierta al gran público, entonces se considera una mala práctica usar certificados autofirmados. Básicamente, estás educando a tus usuarios para que ignoren y acepten la advertencia del navegador, que normalmente es la última línea de defensa contra los ataques de hombre en el medio. Claramente, eso no es lo que quiere, por lo que siempre debe usar un certificado "real", incluso si solo es una implementación de ensayo/prueba.
Gracias por su respuesta – simhumileco
Gracias por su pregunta – simhumileco