Quels sont les problèmes liés à la création dune propre autorité de certification pour lintranet?

Dans les commentaires sur Créer ma propre autorité de certification pour un intranet , plusieurs personnes déconseillent fortement créer votre propre autorité de certification pour un intranet.

Surtout:

ne le faites pas. Non. Mauvaise idée. Achetez 10 $ CA certificats signés à la place. Ne soyez pas votre propre autorité de certification. Non. Mauvaise idée – KristoferA

Mais aussi:

echo « Abandonnez tout espoir, vous qui entrez ici. » – Tom Leek

Pourquoi devrait-on faire plus confiance à une autorité de certification arbitraire qui vend certificats pour 10 $ que dans le propre service informatique de la société?

(Je suis même enclin à faire confiance aux certificats signés par des fournisseurs ou des clients 1, 2 plus que je ferait confiance aux certificats signés par les autorités de certification racine communes.)

  • La sécurité du serveur de l’AC est-elle le problème?
  • La distribution et l’installation des certificats racine problème?
  • Le RA et / ou la distribution de CRL à jour posent-ils problème?
  • Le fait de restreindre qui ou quoi reçoit un certificat et qui ou quoi signe un certificat pose-t-il un problème?
  • Dautres problèmes? (Peut-être mes connaissances limitées, et les connaissances limitées des autres professionnels de linformatique en général, sur tous les aspects essentiels dune autorité de certification sécurisée. Pourquoi KristoferA , Tom Leek , et dautres déconseillent fortement les «homebrew» CA « .

Un CA professionnel aura probablement plus dexpertise dans les trois premiers domaines et il pourrait faire mieux que nimporte quel «suffisant» qui crée sa propre CA. Mais le facteur de confiance me vient à l’esprit surtout pour la dernière partie.


1.) Étant donné que mon entreprise a une relation à long terme avec ces fournisseurs et clients.

2.) Limité aux certificats concernant leurs propres serveurs et employés.

Commentaires

  • Si vous avez des noms dhôte internes comme *.local, *.mycompany ou similaire, alors il ny a aucun moyen de contourner lexécution dune autorité de certification interne de toute façon, car lautorité de certification publique ne sera plus émettez des certificats pour les domaines non publics.

Réponse

Il ny a rien de mal à gérer votre propre autorité de certification; la grande majorité des grandes entreprises avec lesquelles jai interagi ont leur propre autorité de certification interne.

Avantages

  • Le coût nominal dun certificat devient presque nul lorsquil est amorti sur suffisamment de systèmes et dutilisateurs; lorsque vous achetez des certificats auprès dune autorité de certification externe, cela ne deviendra jamais le cas.
  • Il peut être beaucoup plus facile de gérer lexpiration et le renouvellement des certificats, car vous pouvez attribuer la propriété à un groupe interne, au lieu dun seul lutilisateur qui la demandé.
  • Vous pouvez faire toutes sortes de choses intéressantes qui sont très difficiles ou coûteuses à faire avec des autorités de certification externes, telles que la création de certificats génériques pour les sous-domaines, comme * .test.company.com, ou création de certificats non valides étranges à des fins de test (SHA-1 2017, RSA 512 bits, etc.)

Inconvénients

  • Exécuter une autorité de certification est vraiment difficile. Pour votre propre autorité de certification interne, vous n’avez évidemment pas besoin de disposer du niveau de contrôle de sécurité d’une véritable autorité de certification, mais cela reste assez complexe.
  • Les personnes capables de créer et d’exécuter une Les CA ne sont certainement pas bon marché; aux États-Unis au moins, vous pouvez vous attendre à ce que les personnes ayant une solide connaissance de la cryptographie et / ou de la PKI fassent six chiffres.
  • Il ne suffit pas davoir une autorité de certification, vous devez également créer des systèmes sites Web / API pour demander des certificats et gérer les révocations, systèmes de notification pour le renouvellement des certificats, packages dinstallation pour pousser les certificats racine, etc. Vous pouvez acheter un logiciel qui gère une grande partie de cela pour vous, mais ce nest certainement pas gratuit non plus.

Pour les entreprises suffisamment grandes, il y a un point de basculement où le coût dachat de tous ces certificats externes et la perte de flexibilité qui y est associée devient un problème suffisamment important pour créer votre propre autorité de certification .

Sinon, je suis d’accord avec ceux qui vous ont mis en garde: pour la grande majorité des petites et moyennes entreprises, il n’est tout simplement pas économique de gérer leur propre CA; il est beaucoup plus logique de faites simplement affaire avec une entreprise spécialisée en la matière. ts à 10 $ par an est une bonne affaire par rapport au coût de mise en place dune autorité de certification interne bien gérée.

Résumé

Ce nest pas une question de confiance, cest une question de coût.

Commentaires

  • Avec 50 000 certificats à 10 $ / an, il ne faut que 366 jours pour être une somme à sept chiffres.Investir dans la mise en place dune autorité de certification interne peut très bien coûter moins cher, et vous pouvez même vendre cette expertise en plus.
  • @AndrewLeach, pour une entreprise de taille petite à moyenne, un certificat pour chaque employé + chaque (virtuel ) + chaque application ne totalisera probablement pas 50 000.
  • En plus de ce que @KaspervandenBerg a dit à propos de la quantité de certificats, une autorité de certification interne qui génère 50 000 certificats par an nécessitera probablement plusieurs employés à maintenir et à développer. Pour cette raison, jai ' avoir trouvé rare de trouver des CA en dehors des entreprises de taille moyenne (ou plus grandes) ou des entreprises de technologie qui peuvent déjà avoir cette expertise en interne.
  • concernant le troisième inconvénient du réseau Windows de Joe Average ': linstallation du rôle CA sur un serveur vous donne immédiatement le site Web et les points de restauration dans LDAP, et lajout de votre Lautorité de certification racine en tant que confiance peut être effectuée rapidement par GPO
  • @HagenvonEitzen, les défis commencent à monter lorsque vous avez des périphériques non Windows qui doivent tous faire confiance à lautorité de certification racine. Appareils de test mobiles, programmes avec leur propre magasin de certificats (Firefox, java, en particulier sur les serveurs Linux, etc.), Mac. Ce que j’ai ' trouvé dans mon entreprise, c’est que de nombreuses personnes ' ne comprennent pas que nous avons une autorité de certification interne et essaient simplement de gérer par acceptant manuellement le message " cert " non valide.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *