certificato o non certificato?

[diwla]

Ciao a tutti,
sto realizzando in un sito un'area riservata. Per sicurezza ho pensato che fosse meglio far viaggiare i dati criptati, quindi ho provato a generarmi un certificato ed installarlo sul sito in questione. Tutto ok, se non per il fatto che quando poi accedo al sito dal browser mi appare il messaggio che il certificato non è sicuro... ho cercato un pò in giro ed ho visto che i certificati sicuri bisogna acquistarli pagando un bel pò di quattrini!
Ad esempio so che VeriSign è sicuramente uno tra i più attendibili, il fatto è che io non devo fare transazioni di denaro o tenere dati particolarmente sensibili, volevo solo proteggere l'area in modo che i dati non vengano passati in chiaro.
A questo punto mi chiedo se esiste una autorità di certificazione gratuita o un'alternativa per rendere sicuro il flusso di dati senza dover pagare qualcuno...

[diwla]

nessuna dritta sull'utilizzo dei certificati?!?

[Habanero]

Se esistesse una authority gratuita non avrebbero senso quelle a pagamento. Lo scopo di una authority è dare una garanzia, e questo costa. Con il tuo certificato autogenerato i dati passano criptati e sicuri. Il messaggio di avvertimento dato dal browser indica che il certificato, non essendo stato emesso da un ente accreditato, non puo' essere associato in modo sicuro ad una società o persona fisica. Lo scopo dell'authority è confermare che il certificato appartiene realmente a te e non ad un altro.

[diwla]

allora aprofitto per chiederti un paio di cose:

1. se faccio un certificato "fai da te" posso dire all'utente che se lo deve installare sul suo PC e farglielo risultare sicuro? (hai idea di come si fa? io ho provato ma anche installandolo mi dà errore del certificato...)

2. hai mai sentito parlare di openssl (www.openssl.org)? qui dicono di dare certificati validi gratuiti ma non ho capito come...

3. in ogni caso dici che la cosa migliore è acquistare un certificato valido e fine del discorso?

Grazie.