En los comentarios de Crear mi propia CA para una intranet , varias personas desaconsejan encarecidamente creando su propia CA para una intranet.
Especialmente:
no lo haga. Nop. Mala idea. Compre $ 10 CA certificados firmados en su lugar. No sea su propia CA. No, no. Mala idea – KristoferA
Pero también:
echo «Abandona toda esperanza, los que entras aquí». – Tom Leek
¿Por qué debería uno confiar más en una CA arbitraria que vende certificados por $ 10 que en el propio departamento de TI de la empresa?
(Incluso me inclino a confiar en certificados firmados por proveedores o clientes 1, 2 más que yo confiaría en certificados firmados por las CA raíz comunes.)
- ¿Mantener el servidor CA seguro es el problema?
- ¿Es la distribución e instalación de certificados raíz la ¿Problema?
- ¿Es el RA y / o la distribución de CRL actualizadas el problema?
- ¿Es un problema restringir quién o qué recibe un certificado y quién o qué firma un certificado?
- ¿Algún otro problema? (Quizás mi conocimiento limitado, y el conocimiento limitado de otros profesionales de TI en general, sobre todos los aspectos esenciales para una CA segura. ¿Por qué KristoferA , Tom Leek y otros desaconsejan encarecidamente las CA «homebrew».
Probablemente una CA profesional tendrá más experiencia en las tres primeras áreas y podría hacerlo mejor que cualquier «presumido» que cree su propia CA. Pero todavía me viene a la mente el factor de la confianza, especialmente en la última parte.
1.) Dado que mi empresa tiene una relación a largo plazo con estos proveedores y clientes.
2.) Restringido a certificados sobre sus propios servidores y empleados.
Comentarios
Respuesta
No hay nada de malo en ejecutar su propio Autoridad certificada; la gran mayoría de las grandes empresas con las que he interactuado tienen su propia CA interna.
Ventajas
- El costo nominal de un certificado se vuelve casi cero cuando se amortiza en suficientes sistemas y usuarios; cuando compra certificados de una CA externa, este nunca será el caso.
- Puede ser mucho más fácil administrar la expiración y renovación de certificados, ya que puede asignar la propiedad a un grupo interno, en lugar de a un solo usuario que lo solicitó.
- Puede hacer todo tipo de cosas interesantes que son muy difíciles o costosas de hacer con CA externas, como crear certificados comodín para subdominios, como * .test.company.com, o crear certificados no válidos extraños con fines de prueba (SHA-1 2017, RSA de 512 bits, etc.)
Desventajas
- Ejecutar una CA es realmente difícil. Para su propia CA interna, obviamente no necesita tener el nivel de controles de seguridad de una CA real, pero aún es bastante complejo.
- Las personas que son capaces de crear y ejecutar un Los CA ciertamente no son baratos; en los EE. UU. al menos, puede esperar que las personas con un gran conocimiento de criptografía y / o PKI ganen seis cifras.
- No es suficiente tener una CA, también necesita construir sistemas sitios web / API para solicitar certificados y gestionar revocaciones, sistemas de notificación para la renovación de certificados, paquetes de instalación para eliminar certificados raíz, etc. Puede comprar un paquete de software que gestione gran parte de esto por usted, pero ciertamente no gratis.
Para empresas suficientemente grandes, se convierte en un punto de inflexión en el que el costo de comprar todos estos certificados externos y la pérdida de flexibilidad que conlleva se convierte en un problema lo suficientemente importante como para crear su propia CA .
De lo contrario, estoy de acuerdo con los que le advirtieron: para la gran mayoría de las pequeñas y medianas empresas, simplemente no es económico administrar su propia CA; tiene mucho más sentido simplemente tratar con una empresa que se especializa en la materia. Incluso mil cer ts a $ 10 al año es un robo en comparación con el costo de configurar una CA interna bien administrada.
Resumen
No se trata de confianza, se trata de costos.
Comentarios
- Con 50,000 certificados a $ 10 / año, solo se necesitan 366 días para ser una suma de siete cifras.Invertir en la creación de una CA interna puede muy bien costar menos, e incluso podría vender esa experiencia además.
- @AndrewLeach, para una empresa pequeña o mediana, un certificado para cada empleado + cada (virtual ) servidor + cada aplicación probablemente no sumará 50.000.
- Además de lo que dijo @KaspervandenBerg sobre la cantidad de certificados, una CA interna que genera 50.000 certificados por año probablemente requerirá varios empleados mantener y desarrollar. Por eso, ' me ha resultado raro encontrar CA fuera de las empresas de mediana capitalización (o más grandes) o empresas de tecnología que ya pueden tener esa experiencia interna.
- es la tercera ventaja para la red de Windows de Joe Average ': la instalación de la función de CA en un servidor le brinda el sitio web y los puntos de revocación en ldap de inmediato, La CA raíz como confiable se puede hacer rápidamente por GPO
- @HagenvonEitzen, los desafíos comienzan a acumularse cuando tiene dispositivos que no son de Windows y todos necesitan confiar en la CA raíz. Dispositivos de prueba móviles, programas con su propia tienda de certificados (Firefox, java, especialmente en servidores Linux, etc.), Mac. Lo que ' he encontrado en mi empresa es que muchas personas ' no entienden que tenemos una CA interna y solo tratan de administrar aceptando manualmente el mensaje " certificado inválido ".
*.local
,*.mycompany
o similares, entonces no hay forma de evitar ejecutar una CA interna de todos modos, ya que la CA pública ya no emitir certificados para dominios no públicos.