¿Qué es un certificado autofirmado?
Un certificado autofirmado es un certificado digital en el que el propietario del certificado utiliza su propia clave privada para firmar electrónicamente su clave pública correspondiente. En la mayoría de los casos, dichos certificados no se consideran confiables. Esto se debe a que un certificado autofirmado es esencialmente un certificado "autoproclamado", que carece de la aprobación de un tercero de confianza. Debido a su naturaleza autoproclamativa, los certificados autofirmados a veces se denominan coloquialmente "Certificados Ore-Ore" en japonés, que significa "Certificados Yo-Yo".
Una excepción a esta regla son los certificados raíz emitidos por autoridades de certificación públicas (CA públicas) para autenticarse. Los certificados raíz de CA públicas que operan bajo pautas correctamente definidas y respetadas se consideran confiables y están preinstalados en los navegadores web. Cuando un navegador se comunica con un sitio web, verifica el certificado de servidor presentado por el sitio, verifica su emisor y utiliza el certificado raíz almacenado de la autoridad emisora para descifrar la firma y confirmar la legitimidad del certificado.
En general, los certificados de servidor SSL siempre deben ser emitidos por autoridades de certificación de terceros. No se recomienda el uso de un certificado autofirmado porque resulta indistinguible de los certificados falsificados por terceros malintencionados. Configurar un navegador web para aceptar certificados autofirmados también permite aceptar certificados falsificados, lo que genera vulnerabilidades de seguridad. En tales casos, incluso el cifrado pierde sentido, lo que permite escuchas clandestinas y manipulaciones en el camino de la comunicación.