Jeżeli przyjmiemy podstawowe założenia bezpieczeństwa przy generowaniu certyfikatu, czyli:
- klucz prywatny generujemy (prawie)doskonałym generatorem (pseudo)losowym na lokalnej bezpiecznej maszynie,
- urzędowi certyfikacyjnemu przekażemy jedynie skrót klucza, a nie cały klucz ,
to wtedy pod względem bezpieczeństwa transmisji KAŻDY certyfikat dokładnie tak samo zabezpiecza transmisję
(choć samo pojęcie "zabezpieczenia transmisji" przez certyfikat jest lekko naciągane i uproszczone)
niezależnie od tego, czy jest to selfsigned, czy Let's Encrypt, Comodo czy też Verisign.
Bo elementem "zabezpieczającym" transmisję jest modulus/klucz publiczny, który strukturalnie certyfikacie jakiegokolwiek wystawcy jest po prostu tym, co użytkownik prześle, żeby wystawca tam wstawił.
Tyle jeśli chodzi o same aspekty kryptograficzne.
Natomiast pytanie - czym zatem różnią się poszczególne urzędy certyfikacji? Właściwie to jednym aspektem, wynikającym wprost z tego, po co zostały powołane - czyli ZAUFANIEM. I to różnymi poziomami tego zaufania. Pierwszy to poziom dostawców technologii, którzy stwierdzają, że ich klienci mogą zaufać certyfikatom wydanym z tego i tamtego źródła. Drugi poziom to sam użytkownik, który może własnoocznie sprawdzić, kto wystawił certyfikat i mu zaufać lub nie.
Taki Let's Encrypt na przykład, ze względu także na swój crossign, nie jest zaufany na szczególnie starszych platformach.
WoSign / StartCom przez swoje "szwindle" przestał być zaufany na nowych platformach.
A jeśli chodzi o to własnooczne sprawdzenie - świadomy użytkownik widząc Let's Encrypt przy logowaniu do serwisu transakcyjnego banku intuicyjnie sprawdzi, czy nie padł ofiarą jakiegoś szwindlu (np. ataku MITM albo jakiejś unicodowej "homoglyphowej" - nie wiem jak to przetłumaczyć na język polski - odmiany nazwy domeny zabezpieczonej prawidłowym (kryptograficznie) certyfikatem - bo ranga wystawcy nie będzie pasowała do rangi serwisu docelowego.
