Selbstsigniertes Zertifikat

Bei einem selbstsignierten Zertifikat sind Subjekt und Aussteller identisch; wer dem Zertifikat vertraut, vertraut implizit dem Schlüsselpaar, das es erzeugt hat. Solche Zertifikate sind nützlich für Entwicklung, interne Testsysteme, Labore und für das Root-Zertifikat an der Spitze jeder PKI-Hierarchie. Im öffentlichen Internet werden sie jedoch von Browsern und Betriebssystemen nicht akzeptiert und mit deutlichen Warnungen versehen, weil eine extern überprüfbare Vertrauenskette fehlt. Auch Sperrung und Lebenszyklusmanagement sind eingeschränkt. Im Produktivbetrieb sind Zertifikate öffentlicher CAs, einer internen Unternehmens-PKI oder kurzlebige Zertifikate per ACME die besseren Optionen.