Quali sono i problemi con la creazione di una propria CA per intranet?

Nei commenti a Creare la mia CA per una intranet diverse persone sconsigliano vivamente creare la tua CA per una intranet.

In particolare:

non farlo. No. Cattiva idea. Acquista $ 10 CA certificati firmati invece. Non essere la tua CA. No. No. Cattiva idea – KristoferA

Ma anche:

echo “Abbandona ogni speranza, voi che entrate qui.” – Tom Leek

Perché si dovrebbe riporre più fiducia in una CA arbitraria che vende certificati per $ 10 rispetto al reparto IT dellazienda?

(Sono persino incline a fidarmi di certificati firmati da fornitori o clienti 1, 2 più di me considererebbe attendibili i certificati firmati dalle CA radice comuni.)

  • Il problema è mantenere il server CA sicuro?
  • La distribuzione e linstallazione dei certificati radice problema?
  • Il problema è la RA e / o la distribuzione di CRL aggiornati?
  • Limitare chi o cosa riceve un certificato e chi o cosa firma un certificato è un problema?
  • Eventuali altri problemi? (Forse la mia conoscenza limitata, e la conoscenza limitata di altri professionisti IT in generale, su tutti gli aspetti essenziali per una CA sicura. Perché KristoferA , Tom Leek e altri sconsigliano vivamente “homebrew» CA “s.

Probabilmente una CA professionale avrà più esperienza nelle prime tre aree e potrebbe fare meglio di qualsiasi «compiaciuto» che crei la propria CA. Ma ancora il fattore fiducia viene in mente soprattutto per lultima parte.


1.) Dato che la mia azienda ha una relazione a lungo termine con questi fornitori e clienti.

2.) Limitato ai certificati sui propri server e dipendenti.

Commenti

  • Se hai nomi host interni come *.local, *.mycompany o simili, quindi non cè modo di eseguire una CA interna comunque, poiché la CA pubblica non funzionerà più emettere certificati per domini non pubblici.

Risposta

Non cè niente di sbagliato nelleseguire il tuo autorità di certificazione; la stragrande maggioranza delle grandi aziende con cui ho interagito dispone di una propria CA interna.

Vantaggi

  • Il costo nominale di un certificato diventa quasi zero quando ammortizzato su un numero sufficiente di sistemi e utenti; quando acquisti certificati da una CA esterna, non sarà mai così.
  • Può essere molto più semplice gestire la scadenza e il rinnovo del certificato, poiché puoi assegnare la proprietà a un gruppo interno, invece che a un singolo utente che lo ha richiesto.
  • Puoi fare ogni genere di cose che sono molto difficili o costose da fare con CA esterne, come la creazione di certificati con caratteri jolly per sottodomini, come * .test.company.com, o creazione di strani certificati non validi a scopo di test (SHA-1 2017, RSA a 512 bit, ecc.)

Svantaggi

  • Eseguire una CA è davvero difficile. Per la tua CA interna, ovviamente non è necessario disporre del livello di controlli di sicurezza di una CA reale, ma è ancora piuttosto complesso.
  • Le persone che sono in grado di creare e gestire un Le CA non sono certamente economiche; Almeno negli Stati Uniti, puoi aspettarti che le persone con una forte conoscenza della crittografia e / o PKI guadagnino sei cifre.
  • Non è solo sufficiente avere una CA, devi anche costruire sistemi intorno a loro. Siti web / API per la richiesta di certificati e la gestione delle revoche, sistemi di notifica per il rinnovo dei certificati, pacchetti di installazione per inviare i certificati di root, ecc. Potresti acquistare un pacchetto software che gestisce molti di questi per te, ma non è certo gratuitamente.

Per aziende sufficientemente grandi, diventa un punto di svolta in cui il costo di acquisto di tutti questi certificati esterni e la perdita di flessibilità che ne deriva diventa un problema abbastanza significativo da creare la propria CA .

Per il resto, sono daccordo con chi ti ha messo in guardia contro: per la stragrande maggioranza delle aziende di piccole e medie dimensioni, semplicemente non è economico gestire la propria CA; ha molto più senso basta occuparsi di unazienda specializzata in materia, anche mille cer ts a $ 10 allanno è un vero affare se paragonato al costo della creazione di una CA interna ben gestita.

Riepilogo

Non si tratta di fiducia, ma di costi.

Commenti

  • Con 50.000 certificati a $ 10 / anno, bastano 366 giorni per essere una somma a sette cifre.Investire nella creazione di una CA interna può benissimo costare meno e potresti persino vendere quellesperienza in più.
  • @AndrewLeach, per unazienda di piccole e medie dimensioni un certificato per ogni dipendente + ogni (virtuale ) server + ogni applicazione probabilmente non aggiungerà fino a 50.000.
  • Oltre a ciò che ha detto @KaspervandenBerg sulla quantità di certificati, una CA interna che sta generando 50.000 certificati allanno richiederà probabilmente diversi dipendenti mantenere e sviluppare. Per questo motivo, ' ho trovato raro trovare CA al di fuori di società a media capitalizzazione (o più grandi) o società tecnologiche che potrebbero già avere tali competenze internamente.
  • è il terzo vantaggio per Joe Average ' s rete Windows: linstallazione del ruolo CA su un server fornisce il sito Web e i punti di ripristino in ldap immediatamente e laggiunta La CA root come attendibile può essere eseguita rapidamente per GPO
  • @HagenvonEitzen, le sfide iniziano ad aumentare quando si hanno dispositivi non Windows che devono tutti fidarsi della CA radice. Dispositivi mobili di test, programmi con il proprio archivio certificati (Firefox, java, soprattutto su server Linux ecc.), Mac. Quello che ' ho trovato nella mia azienda è che molte persone non ' capiscono che abbiamo una CA interna e cercano solo di gestire accettando manualmente il " cert " messaggio non valido.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *