Algorytm kluczy RSA i szyfrowania SSL są kodami otwartymi – dzięki temu każdy może sprawdzić ich działanie, ale także wykorzystać je do stworzenia własnego certyfikatu z pominięciem centrów autoryzacyjnych.
Teoretycznie to niezłe rozwiązanie, ponieważ można skorzystać z szyfrowania w domenie, nie płacąc ani złotówki za certyfikat. Są jednak poważne wady tego rozwiązania.
Wszystkie problemy z certyfikatami samopodpisanymi wynikają z jednej zasadniczej różnicy między nimi, a certyfikatami wydanymi przez CA (centra autoryzacyjne). Nie istnieje bowiem mechanizm pozwalający na automatyczne zweryfikowanie certyfikatu.
Nawet jeśli jest on prawidłowy i bezbłędnie wdrożony, to użytkownik, który zostanie skierowany na szyfrowaną stronę, zostanie poproszony o ręczne zatwierdzenie certyfikatu.
Część użytkowników od razu opuści stronę (poniekąd to dobre działanie – w razie problemów z certyfikatem w banku zrobiliby to samo, więc jest to tylko reakcja obronna, najskuteczniejsza zresztą z możliwych), a część zostanie zmuszona do ręcznej weryfikacji certyfikatu.
Nie jest to duży problem, ponieważ ilość danych do sprawdzenia jest niewielka, ale i tak jest to duże utrudnienie, co w bardzo istotny sposób obniża komfort użytkownika i użyteczność strony. W dodatku wiele osób zaznaczy akceptację certyfikatu bez jego analizy, co wprawdzie pozwoli na zaszyfrowanie danych, ale z punktu widzenia bezpieczeństwa w sieci wcale zalecane nie jest.
Jedyne dobre rozwiązanie to zaufane certyfikaty
Nawet najtańsze certyfikaty z CA zapewniają znacznie lepszą ochronę i przede wszystkim są uznawane przez odbiorców za bardziej wiarygodne.
Ostatecznie certyfikat samopodpisany jest czymś w rodzaju dowodu osobistego wydrukowanego na własnej drukarce – może zawierać prawdziwe dane, ale nie można być tego pewnym.
Zakup certyfikatu (albo wdrożenie darmowego) pozwala poprawić wrażenia klienta i podnosi prestiż domeny. Oczywiście takie własnoręcznie wygenerowane certyfikaty mogą zastąpić komercyjne DA, ale już nie OV czy tym bardziej certyfikaty EV. W tych droższych klasach chodzi bowiem o zapewnienie autentyczności i budowanie zaufania, a nie tylko szyfrowania danych.