Dejadme que lo deje claro desde la primera línea: aceptar certificados inválidos es incorrecto.
Y ahora explicaré por qué es incorrecto y por qué hay pocas excusas para ello.
Nos referimos, claro, a los certificados usados para cifrado SSL, el cual sirve dos propósitos:
- Privacidad — asegurar que los datos se transfieren cifrados y solo pueden ser descifrados por el destinatario deseado y no por una tercera parte que pueda estar interceptando el tráfico.
- Autenticación — asegurar que la parte receptora de los datos que será capaz de descifrarlos es quien dice ser y los datos no son desviados a un destinatario distinto por alguien que sea capaz de manipular nuestro tráfico.
Los certificados inválidos obviamente incumplen el primer proposito de verificar la identidad de la otra parte: