O que é um certificado autoassinado?
Um certificado autoassinado é um certificado digital em que o proprietário do certificado usa sua própria chave privada para assinar eletronicamente sua chave pública correspondente. Na maioria dos casos, esses certificados não são considerados confiáveis. Isso ocorre porque um certificado autoassinado é essencialmente um certificado "autodeclarado", sem endosso de uma terceira parte confiável. Devido à sua natureza autodeclarativa, os certificados autoassinados são às vezes coloquialmente chamados de "Certificados Ore-Ore" em japonês, que significa "Certificados Eu-Eu".
Uma exceção a essa regra são os certificados raiz emitidos por autoridades de certificação públicas (CAs públicas) para se autenticarem. Certificados raiz de CAs públicas que operam sob diretrizes devidamente definidas e seguidas são considerados confiáveis e são pré-instalados em navegadores da web. Quando um navegador se comunica com um site, ele verifica o certificado do servidor apresentado pelo site, verifica seu emissor e usa o certificado raiz armazenado da autoridade emissora para descriptografar a assinatura e confirmar a legitimidade do certificado.
Em geral, os certificados de servidor SSL devem sempre ser emitidos por autoridades de certificação terceirizadas. Não é recomendado usar um certificado autoassinado porque ele se torna indistinguível de certificados falsificados por terceiros mal-intencionados. Configurar um navegador da web para aceitar certificados autoassinados permite que certificados falsificados também sejam aceitos, levando a vulnerabilidades de segurança. Nesses casos, até mesmo a criptografia perde o sentido, permitindo espionagem e adulteração no caminho da comunicação.