Originariamente inviato da XWolverineX
Salve!
In previsione dello sviluppo di un nostro sistema di ecommerce, per il pagamento via carta di credito e paypal (oltre a varie sezioni da rendere sicure) mi sto informando sui certificati SSL.

Tralasciando l'ipotesi di autofirmare un certificato (perchè chiaramente i clienti avrebbero un avviso di sicurezza), l'unico modo è pagare?
Ho trovato, ad esempio, www.cacert.org
Anche questo viene segnalato come non sicuro? Perchè questo sì e gli altri no? I browser hanno una lista di certificati che danno per "sicuri" al loro interno?

Insomma, domanda finale: per avere un certificato serio, devo per forza chiamare verisign e dargli dei soldi?
ci sono anche i certificati di prova emessi tipo da rapidssl o geotrust che vengono dati gratis per provarli per un mese, ma alla fine li devi comunque comprare se li vuoi "firmati"
scherzi a parte ci sono dei siti che li offrono comunque a basso prezzo, io ad esempio acquisto come rivenditore quelli di trustico perche' spesso mi sono stati richiesti come fornitori dai miei clienti finali e alla fine i certificati non sono gratis pero' costano meno della concorrenza, e ti parlo di rapidssl, geotrust, thawte, verisign, quindi alla fine il meglio sul mercato.
Per quanto riguarda la lista dei certificati sicuri per ogni browser effettivamente esiste, altrimenti non si giustificherebbe la spesa che le autorita' di certificazione destinano ad entrare a far parte di questa schiera di eletti
ho letto di recente che chrome, ad esempio, sta pensando di eliminare la lista di siti con certificazioni attendibili e valide (CRL, mi sembra si chiami cosi') per lasciarne valida una solo interna, e ovviamente symantec che l'ha resa disponibile non l'ha presa bene