Mitkä ovat ongelmat oman varmenteen luomisessa intranetille?

Kommenteissa Oman varmentajan luominen intranetille useat ihmiset suosittelevat voimakkaasti oman CA: n luominen intranetille.

Erityisesti:

älä tee sitä. Ei. Huono idea. Osta 10 dollaria CA allekirjoitetut varmenteet. Älä ole oma CA. Ei. Huono idea – KristoferA

Mutta myös:

kaiku ”Hylkää kaikki toivot, te, jotka tulette tänne.” – Tom Leek

Miksi pitäisi luottaa enemmän mielivaltaiseen CA: han, joka myy sertifikaatit 10 dollaria kuin yrityksen omassa IT-osastossa?

(Olen jopa taipuvainen luottamaan toimittajien tai asiakkaiden allekirjoittamiin varmenteisiin 1, 2 enemmän kuin minä luottaako yhteisen juurivarmentajan allekirjoittamiin varmenteisiin.)

  • Onko CA-palvelimen pitäminen turvassa ongelman?
  • Onko juurivarmenteiden jakelu ja asennus ongelma?
  • Onko RA ja / tai ajan tasalla olevien CRL-tiedostojen jakelu ongelma?
  • Onko varmenteen saajan rajoittaminen tai kuka tai mikä allekirjoittaa varmenteen?
  • Onko sinulla muita ongelmia? (Ehkä rajallinen tietoni ja muiden IT-ammattilaisten rajallinen tietämys turvallisen varmentajan kaikista olennaisista näkökohdista. > KristoferA , Tom Leek ja muut suosittelevat voimakkaasti «homebrew» CA: ta.

Todennäköisesti ammattimaisella varmentajalla on enemmän asiantuntemusta kolmella ensimmäisellä alueella, ja he voisivat toimia paremmin kuin kuka tahansa ”omahyväinen”, joka luo oman varmentajan. Mutta silti luottamustekijä tulee mieleen erityisesti viimeisen osan osalta.


1.) Ottaen huomioon, että yritykselläni on pitkäaikainen suhde näihin toimittajiin ja asiakkaisiin.

2.) Rajoitettu omien palvelimien ja työntekijöiden varmenteille.

Kommentit

  • Jos sinulla on sisäisiä isäntänimiä, kuten *.local, *.mycompany tai vastaavia, sisäisen varmentajan ylläpitämisessä ei kuitenkaan ole mitään keinoa, koska julkinen CA ei enää antaa varmenteita muille kuin julkisille verkkotunnuksille.

Vastaa

Oman sisäisen järjestelmän ylläpitämisessä ei ole mitään vikaa varmentaja; valtaosalla suurista yrityksistä, joiden kanssa olen ollut tekemisissä, on oma sisäinen CA.

Edut

  • Sertifikaatin nimellishinnasta tulee lähes nolla, kun se amortizoidaan riittävän monien järjestelmien ja käyttäjien yli; kun ostat varmenteita ulkoiselta varmentajalta, näin ei koskaan tapahdu.
  • Varmenteiden vanhentumisen ja uusimisen hallitseminen voi olla paljon helpompaa, koska voit määrittää omistajuuden sisäiselle ryhmälle yhden yksittäisen sijasta. käyttäjä, joka on pyytänyt sitä.
  • Voit tehdä kaikenlaisia siistejä asioita, joita on erittäin vaikea tai kallista tehdä ulkoisten varmentajien kanssa, kuten luoda jokerimerkkisertifikaatteja aliverkkotunnuksille, kuten * .test.company.com tai oudon virheellisten sertifikaattien luominen testausta varten (SHA-1 2017, 512-bittinen RSA jne.)

Haitat

  • Varmentajan suorittaminen on todella vaikeaa. Oma sisäinen varmentajasi ei tietenkään tarvitse olla varsinaisen varmentajan turvallisuustason tasoa, mutta se on silti melko monimutkainen.
  • Ihmiset, jotka pystyvät luomaan ja ylläpitämään CA eivät todellakaan ole halpoja; Ainakin Yhdysvalloissa voit odottaa, että ihmiset, joilla on vahva salauksen ja / tai PKI: n tuntemus, tekevät kuusi kuvaa.
  • Se ei riitä vain, jos sinulla on varmentaja, sinun on myös rakennettava järjestelmiä Sivustot / sovellusliittymät sertifikaattien pyytämiseen ja peruutusten käsittelemiseen, varmenteen uusimisen ilmoitusjärjestelmät, juurivarmenteiden poistamiseen tarvittavat asennuspaketit jne. Voit ostaa ohjelmistopaketin, joka hallitsee paljon tätä puolestasi, mutta se ei varmasti joko ilmaiseksi.

Riittävän suurille yrityksille tulee käännekohta, jossa kaikkien näiden ulkoisten varmenteiden ostokustannuksista ja niihin liittyvästä joustavuuden menetyksestä tulee riittävän merkittävä asia oman varmentajan luomiseksi. .

Muutoin olen samaa mieltä niiden kanssa, jotka varoittivat sinua siitä: suurimmalle osalle pienistä ja keskisuurista yrityksistä ei ole yksinkertaisesti taloudellista johtaa omaa varmentajaansa; on paljon järkevämpää yksinkertaisesti käsitellä asiaan erikoistunutta yritystä. Jopa tuhat cer ts 10 dollaria vuodessa on varastaa verrattuna hyvin hoidetun sisäisen varmentajan perustamisen kustannuksiin.

Yhteenveto

Kyse ei ole luottamuksesta, vaan kustannuksista.

Kommentit

  • 50000 10 dollaria vuodessa, se kestää vain 366 päivää, jotta se olisi seitsemän numeroinen summa.Sisäisen varmentajan perustamiseen sijoittaminen voi hyvinkin maksaa vähemmän, ja voit jopa myydä tämän asiantuntemuksen ylhäältä.
  • @AndrewLeach, pienelle ja keskisuurelle yritykselle varmenne jokaiselle työntekijälle + jokaiselle (virtuaalinen ) palvelin + jokainen sovellus ei todennäköisesti lisää 50 000.
  • Sen lisäksi, mitä @KaspervandenBerg sanoi varmenteiden määrästä, sisäinen varmentaja, joka tuottaa 50 000 sertifikaattia vuodessa, todennäköisesti tarvitsee useita työntekijöitä ylläpitää ja kehittää. Tämän vuoksi ' olen havainnut, että on harvinaista löytää varmentajia keskisuurten (tai suurempien) yritysten tai teknologiayritysten ulkopuolelta, joilla saattaa olla jo tätä asiantuntemusta yrityksen sisällä.
  • uudelleen Joe Average ' s -verkkojen kolmas diadvantage: CA-roolin asentaminen palvelimelle antaa verkkosivuston ja uudelleenkohdistuspisteet ldap-tiedostoon heti ja lisää luotettu juurivarmentaja voidaan tehdä nopeasti per GPO
  • @HagenvonEitzen, haasteet alkavat kasvaa, kun sinulla on muita kuin Windows-laitteita, joiden kaikkien on luotettava juurivarmentajaan. Mobiililaitteet, ohjelmat, joilla on oma varmennekauppa (Firefox, Java, erityisesti Linux-palvelimilla jne.), Mac Yrityksestäni ' olen löytänyt, että monet ihmiset eivät ' ymmärrä, että meillä on sisäinen CA ja yritämme vain hallita hyväksymällä manuaalisesti " virheellinen cert " -viesti.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *