Hvad er problemerne med at oprette et eget CA for intranet?

I kommentarerne til Oprettelse af min egen CA til et intranet advarer flere mennesker kraftigt fra opretter din egen CA til et intranet.

Især:

gør det ikke. Nej. Dårlig idé. Køb $ 10 CA underskrevne certifikater i stedet. Vær ikke din egen CA. Nej nej. Dårlig idé – KristoferA

Men også:

ekko “Forlad alt håb, I, der kommer ind her.” – Tom Leek

Hvorfor skal man stole mere på en vilkårlig CA, der sælger certifikater for $ 10 end i virksomhedens egen it-afdeling?

(Jeg er endda tilbøjelig til at stole på certifikater underskrevet af leverandører eller kunder 1, 2 mere end jeg ville stole på certifikater underskrevet af den fælles rod-CA “s.)

  • Er det sikkert at holde CA-serveren sikker?
  • Er distribution og installation af rodcertifikater problem?
  • Er RA og / eller distribution af opdaterede CRLer problemet?
  • Er det at begrænse, hvem eller hvad der modtager et certifikat, og hvem eller hvad der underskriver et certifikat?
  • Eventuelle andre problemer? (Måske min begrænsede viden og den begrænsede viden fra andre it-fagfolk generelt om alle væsentlige aspekter for en sikker CA. Er hvorfor KristoferA , Tom Leek og andre fraråder kraftigt «homebrew» CAs.

Sandsynligvis vil en professionel CA have mere ekspertise inden for de første tre områder, og de kunne klare sig bedre end nogen «selvtilfredse», der opretter sin egen CA. Men stadig kommer den tillidsfaktor til at tænke specielt på den sidste del.


1.) I betragtning af at min virksomhed har et langsigtet forhold til disse leverandører og kunder.

2.) Begrænset til certifikater om deres egne servere og medarbejdere.

Kommentarer

  • Hvis du har interne værtsnavne som *.local, *.mycompany eller lignende, så er der alligevel ingen måde at køre en intern CA på, da offentlig CA ikke længere vil udsted certifikater for ikke-offentlige domæner.

Svar

Der er slet intet galt med at køre din egen interne certifikatmyndighed langt størstedelen af de store virksomheder, som jeg har interageret med, har deres egen interne CA.

Fordele

  • Den nominelle pris for et certifikat bliver næsten nul, når det afskrives over nok systemer og brugere; når du køber certifikater fra en ekstern CA, bliver dette aldrig tilfældet.
  • Det kan være meget lettere at administrere certifikatudløb og -fornyelse, da du kan tildele ejerskab til en intern gruppe i stedet for en enkelt bruger, der har anmodet om det.
  • Du kan gøre alle mulige pæne ting, der er meget vanskelige eller dyre at gøre med eksterne CAer, såsom at oprette jokertegnscertifikater til underdomæner, som * .test.company.com eller oprettelse af underlige ugyldige certs til testformål (SHA-1 2017, 512-bit RSA osv.)

Ulemper

  • Det er virkelig svært at køre en CA. For din egen interne CA behøver du tydeligvis ikke at have et helt niveau af sikkerhedskontrol af en reel CA, men det er stadig ret komplekst.
  • De mennesker, der er i stand til at skabe og køre en CA er bestemt ikke billige; i det mindste i USA kan du forvente, at folk med stærk viden om kryptografi og / eller PKI vil lave seks tal.
  • Det er ikke bare nok at have en CA, du skal også bygge systemer Hjemmesider / APIer til anmodning om certifikater og håndtering af tilbagekaldelser, meddelelsessystemer til certifikatfornyelse, installationspakker for at skubbe rodcertifikater ud osv. Du kan købe en softwarepakke, der administrerer meget af dette for dig, men det er bestemt ikke gratis enten.

For tilstrækkeligt store virksomheder bliver der et vendepunkt, hvor omkostningerne ved køb af alle disse eksterne certifikater og tabet af fleksibilitet deri medfører bliver et væsentligt problem til at oprette din egen CA .

Ellers er jeg enig med dem, der advarede dig mod det: for langt størstedelen af små til mellemstore virksomheder er det simpelthen ikke økonomisk at drive deres egen CA; det giver langt mere mening at bare beskæftige sig med et firma, der er specialiseret i sagen. Selv tusind cer ts på $ 10 om året er en stjæle sammenlignet med omkostningerne ved opsætning af en veldrevet intern CA.

Oversigt

Det handler ikke om tillid, det handler om omkostninger.

Kommentarer

  • Med 50.000 certifikater på $ 10 / år, det tager kun 366 dage at være en syv-cifret sum.Investering i oprettelse af et internt CA kan meget vel koste mindre, og du kan endda sælge den ekspertise på toppen.
  • @AndrewLeach, for en lille til mellemstor virksomhed et certifikat for hver medarbejder + hver (virtuel) ) server + hver applikation tilføjer sandsynligvis ikke op til 50.000.
  • Ud over hvad @KaspervandenBerg sagde om mængden af certifikater, vil en intern CA, der genererer 50.000 certifikater om året, sandsynligvis kræve flere medarbejdere at vedligeholde og udvikle. På grund af dette har jeg ' fundet det sjældent at finde CAer uden for enten mid-cap (eller større) virksomheder eller teknologivirksomheder, der måske allerede har den ekspertise internt.
  • er den tredje ulempe for Joe Gennemsnit ' s Windows-netværk: Installation af CA-rollen på en server giver dig hjemmesiden og genoprettelsespunkter i ldap med det samme og tilføjer din root CA som betroet kan gøres hurtigt pr. GPO
  • @HagenvonEitzen, udfordringerne begynder at montere, når du har ikke-Windows-enheder, som alle har brug for at stole på Root CA. Mobile testenheder, programmer med deres egen cert-butik (Firefox, java, især på Linux-servere osv.), Macer. Hvad jeg ' har fundet i min virksomhed er, at mange mennesker ikke ' t forstår, at vi har en intern CA og bare prøver at klare manuel accept af " ugyldig cert " besked.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *