Jaké jsou problémy s vytvořením vlastní CA pro intranet?

V komentářích k Vytváření vlastního CA pro intranet několik lidí důrazně nedoporučuje vytvoření vlastní CA pro intranet.

Zvláště:

nedělejte to. Ne. Špatný nápad. Kupte si CA 10 $ místo toho podepsané certifikáty. Nebuďte svým vlastním CA. Ne. Špatný nápad – KristoferA

Ale také:

echo „Opusťte veškerou naději, vy, kteří sem vstupujete.“ – Tom Leek

Proč by měl někdo více důvěřovat svévolné CA, která prodává certifikáty za 10 $ než ve vlastním IT oddělení společnosti?

(Mám dokonce sklon důvěřovat certifikátům podepsaným dodavateli nebo klienty 1, 2 více než já důvěřují by certifikáty podepsané běžnými kořenovými CA?)

  • Zajišťuje zabezpečení CA serveru problém?
  • Je distribuce a instalace kořenových certifikátů problém?
  • Je problém s RA a / nebo distribucí aktuálních CRL?
  • Je omezení toho, kdo nebo co obdrží certifikát a kdo nebo co podepíše certifikát, problém?
  • Nějaké další problémy? (Možná moje omezené znalosti a obecně omezené znalosti ostatních IT odborníků o všech podstatných aspektech bezpečné CA. Proč KristoferA , Tom Leek a další důrazně nedoporučují „homebrew“ CA.

Pravděpodobně profesionální CA bude mít v prvních třech oblastech více odborných znalostí a by by si vedli lépe než kterýkoli «samolibý», který si vytvoří svůj vlastní CA. Faktor důvěry mi ale přesto přijde na mysl zejména pro poslední část.


1.) Vzhledem k tomu, že má moje společnost dlouhodobý vztah s těmito dodavateli a klienty.

2.) Omezeno na certifikáty o vlastních serverech a zaměstnancích.

Komentáře

  • Pokud máte interní názvy hostitelů jako *.local, *.mycompany nebo podobné, pak interní CA stejně nelze spustit, protože veřejná CA již nebude vydávat certifikáty pro neveřejné domény.

Odpovědět

Provozování vlastního interního systému není vůbec špatné certifikační autorita; drtivá většina velkých společností, se kterými jsem komunikoval, má vlastní interní CA.

Výhody

  • Nominální cena certifikátu se při odepisování na dostatečném počtu systémů a uživatelů téměř sníží na nulu; při nákupu certifikátů od externí CA k tomu nikdy nedojde.
  • Správa vypršení platnosti a obnovení certifikátu může být mnohem snazší, protože místo jedné můžete přiřadit vlastnictví interní skupině. uživatel, který o to požádal.
  • S externími CA můžete dělat nejrůznější věci, které jsou velmi obtížné nebo nákladné, například vytvářet zástupné certifikáty pro subdomény, například * .test.company.com nebo vytváření podivných neplatných certifikátů pro účely testování (SHA-1 2017, 512bitové RSA atd.)

Nevýhody

  • Spuštění CA je opravdu těžké. Pro svůj vlastní interní CA zjevně nemusíte mít dostatečnou úroveň bezpečnostních kontrol skutečného CA, ale stále je to docela složité.
  • Lidé, kteří jsou schopni vytvářet a provozovat CA rozhodně nejsou levné; přinejmenším v USA můžete očekávat, že lidé se silnými znalostmi kryptografie a / nebo PKI vyprodukují šest čísel.
  • Nestačí mít pouze CA, musíte také vybudovat systémy kolem nich. Webové stránky / API pro vyžádání certifikátů a vyřizování odvolání, oznamovací systémy pro obnovení certifikátů, instalační balíčky pro vytlačování kořenových certifikátů atd. Můžete si koupit softwarový balíček, který toho za vás spravuje hodně, ale to rozhodně není zdarma.

Pro dostatečně velké společnosti se stává bod zlomu, kdy se náklady na nákup všech těchto externích certifikátů a ztráta flexibility s tím spojená stává dostatečně významným problémem k vytvoření vlastního CA .

Jinak souhlasím s těmi, kteří vás před tím varovali: pro velkou většinu malých a středních společností je prostě neekonomické provozovat vlastní CA; dává to mnohem větší smysl jednoduše jednat se společností, která se na tuto záležitost specializuje. Dokonce i tisíc cer ts za 10 $ ročně je krádež ve srovnání s náklady na zřízení dobře fungující interní CA.

Shrnutí

Nejde o důvěru, ale o cenu.

Komentáře

  • S 50 000 certifikáty na 10 $ / rok, trvá pouze 366 dní, než je sedmimístná částka.Investice do založení interní CA může velmi dobře stát méně a tyto odborné znalosti byste mohli dokonce prodat navrch.
  • @AndrewLeach, pro malou až střední společnost certifikát pro každého zaměstnance + každý (virtuální ) server + každá aplikace pravděpodobně nepřidá až 50 000.
  • Kromě toho, co @KaspervandenBerg řekl o množství certifikátů, bude interní CA, která generuje 50k certifikáty ročně, pravděpodobně vyžadovat několik zaměstnanců udržovat a rozvíjet. Z tohoto důvodu jsem ' zjistil, že je vzácné najít certifikační autority mimo společnosti se střední tržní kapitalizací (nebo větší) nebo technologické společnosti, které již mohou mít tyto odborné znalosti interně.
  • znovu třetí výhoda pro Joe Average ' s Windows: instalace role CA na server vám poskytne web a body reovcation v ldap hned a přidání vašeho kořenovou CA jako důvěryhodnou lze rychle provést na GPO
  • @HagenvonEitzen, výzvy se začnou montovat, když máte zařízení, která nejsou Windows a která musí důvěřovat kořenové CA. Mobilní testovací zařízení, programy s vlastním úložištěm certifikátů (Firefox, Java, zejména na serverech Linux atd.), Mac. V mé společnosti jsem našel ' to, že mnoho lidí ' nerozumí tomu, že máme interní CA a zkusím to spravovat pomocí ruční přijetí " neplatné cert " zprávy.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *