Milyen problémák vannak a saját CA létrehozásával az intranet számára?

A saját hitelesítésszolgáltató létrehozása intranethez megjegyzésekben többen határozottan nem javasolják saját CA létrehozása intranet számára.

Különösen:

ne csináld. Nem. Rossz ötlet. Vásároljon 10 USD CA-t aláírt tanúsítványokat. Ne legyen saját CA. Nem. Nem. Rossz ötlet – KristoferA

De:

echo “Hagyj el minden reményt, ti, akik ide léptek.” – Tom Leek

Miért kellene jobban bízni egy önkényes CA-ban, amely értékesít tanúsítványok 10 dollárért, mint a vállalat saját informatikai részlegénél?

(még hajlamos vagyok megbízni a beszállítók vagy az ügyfelek által aláírt tanúsítványokban 1, 2 , mint én megbízna a közös root CA által aláírt tanúsítványokban.)

  • Biztonságos a CA szerver fenntartása?
  • A root tanúsítványok terjesztése és telepítése a probléma?
  • Probléma az RA és / vagy a naprakész CRL-ek terjesztése?
  • Probléma-e annak korlátozása, hogy ki vagy mi kap tanúsítványt, és ki vagy mi írja alá a tanúsítványt?
  • Van még egyéb probléma? (Talán korlátozott ismereteim és általában más informatikai szakemberek korlátozott ismeretei a biztonságos CA összes lényeges szempontjáról. Miért KristoferA , Tom Leek és mások határozottan nem tanácsolják a «homebrew» CA-kat.

Valószínűleg egy professzionális CA-nak több szakértelme lesz az első három területen, és ők jobban tudnának teljesíteni, mint bármelyik „önelégült”, aki létrehozza saját CA-ját. De mégis a bizalom tényezője jut eszembe, főleg az utolsó résznél.


1.) Tekintettel arra, hogy cégem hosszú távú kapcsolatban áll ezekkel a beszállítókkal és ügyfelekkel.

2.) A saját szervereikre és alkalmazottaikra vonatkozó tanúsítványokra korlátozódik.

Megjegyzések

  • Ha olyan belső hosztneved van, mint *.local, *.mycompany vagy hasonló, akkor egyébként sem lehet megkerülni egy belső CA-t, mivel a nyilvános CA már tanúsítványokat állít ki nem nyilvános domainekhez.

Válasz

Egyáltalán nincs semmi baj a saját belső futtatásával tanúsító hatóság; a nagyvállalatok túlnyomó többségének saját belső CA-ja van.

Előnyök

  • A cert névleges költsége majdnem nulla lesz, ha amortizálódik elegendő rendszer és felhasználó felett; amikor tanúsítványokat vásárol egy külső hitelesítésszolgáltatótól, ez soha nem lesz így.
  • Sokkal könnyebb lehet a tanúsítvány lejáratának és megújításának kezelése, mivel tulajdonjogot rendelhet egyetlen csoporthoz, hanem egy belső csoporthoz. felhasználó, aki kérte.
  • Mindenféle ügyes dolgot megtehet, amelyet nagyon nehéz vagy drága megtenni a külső hitelesítésszolgáltatókkal, például létrehozhat helyettesítő tanúsítványokat az aldomainekhez, például a * .test.company.com vagy furcsa érvénytelen tanúsítványok létrehozása tesztelési célokra (SHA-1 2017, 512 bites RSA stb.)

Hátrányok

  • A CA futtatása nagyon nehéz. Saját belső hitelesítésszolgáltatója számára nyilvánvaló, hogy nem kell a valós CA biztonsági szintjének megfelelő szintű ellenőrzése, de ez még mindig meglehetősen összetett.
  • Azok az emberek, akik képesek létrehozni és futtatni egy CA biztosan nem olcsó; legalábbis az Egyesült Államokban számíthat arra, hogy a kriptográfiát és / vagy a PKI-t jól ismerő emberek hat számjegyet készítenek.
  • Ez nem csak elég a CA-hoz, hanem rendszereket is fel kell építeni. Webhelyek / API-k tanúsítványok kérésére és visszavonások kezelésére, értesítési rendszerek tanúsítványmegújításra, telepítőcsomagok a gyökértanúsítványok kiszorítására stb. Lehet vásárolni egy szoftvercsomagot, amely rengeteget kezel az Ön számára, de ez biztosan nem sem.

Megfelelően nagy cégek számára olyan fordulóponttá válik, ahol mindezen külső tanúsítványok megvásárlásának költsége és az ezzel járó rugalmasságvesztés elég jelentős kérdéssé válik a saját CA létrehozásához. .

Ellenkező esetben egyetértek azokkal, akik figyelmeztettek erre: a kis- és középvállalkozások túlnyomó többségének egyszerűen nem gazdaságos a saját CA működtetése; sokkal ésszerűbb egyszerűen foglalkozzon egy olyan céggel, amely az ügyre szakosodott. Még ezer cer Az évi 10 dolláros tételek lopásnak számítanak a jól működtetett belső hitelesítésszolgáltató felállításának költségeihez képest.

Összegzés

Ez nem a bizalomról szól, hanem a költségekről.

Megjegyzések

  • 50 000-rel évente 10 dollárért, csak 366 nap szükséges hét számjegyű összeghez.A belső CA felállításába történő befektetés nagyon költséges lehet, és ezt a szakértelmet akár el is adhatja.
  • @AndrewLeach, egy kis és közepes méretű vállalat számára tanúsítvány minden munkavállaló számára + minden (virtuális ) server + minden alkalmazás valószínűleg nem fogja elérni az 50 000-et.
  • Amellett, amit @KaspervandenBerg mondott a tanúsítványok mennyiségéről, egy belső CA, amely évente 50 ezer tanúsítványt generál, valószínűleg több alkalmazottra lesz szükség fenntartani és fejleszteni. Emiatt ' ritkán tapasztaltam olyan CA-kat, amelyek közepes tőkeértékű (vagy nagyobb) vállalatok vagy olyan techcégek kívül voltak, amelyek már rendelkeznek házon belüli szakértelemmel.
  • olvassa el a Joe Average ' s Windows hálózat harmadik diadvantage-ját: A CA szerepkör szerverre történő telepítésével azonnal megkapja a webhelyet és az újratöltési pontokat az ldap fájlban, és hozzáadja a A root CA, mint megbízható, gyorsan elvégezhető GPO-nként
  • @HagenvonEitzen, a kihívások akkor kezdenek el települni, amikor nem Windows operációs rendszerű eszközök vannak, amelyeknek mindegyiküknek megbíznia kell a Root CA-ban. Mobil teszteszközök, saját cert-tárral rendelkező programok (Firefox, Java, különösen Linux szervereken stb.), Mac-ek. Amit ' találtam a cégemben, az az, hogy sokan nem ' nem értik, hogy van belső hitelesítésszolgáltatónk, és csak megpróbálnak az " érvénytelen cert " üzenet manuális elfogadása.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük