Hva er problemene med å lage et eget CA for intranett?

I kommentarene til Å lage min egen CA for et intranett flere fraråder på det sterkeste lage din egen CA for et intranett.

Spesielt:

ikke gjør det. Nei. Dårlig idé. Kjøp $ 10 CA signerte sertifikater i stedet. Ikke vær din egen CA. Nei nei. Dårlig idé – KristoferA

Men også:

ekko «Forlat alt håp, dere som kommer inn her.» – Tom Leek

Hvorfor skal man stole mer på en vilkårlig CA som selger sertifikater for $ 10 enn i selskapets egen IT-avdeling?

(Jeg er til og med tilbøyelig til å stole på sertifikater signert av leverandører eller kunder 1, 2 mer enn jeg vil stole på sertifikater signert av den vanlige roten CA. s.)

  • Er det å holde CA-serveren sikker?
  • Er distribusjon og installering av rotsertifikater problem?
  • Er RA og / eller distribusjon av oppdaterte CRL-er problemet?
  • Er det å begrense hvem eller hva som mottar et sertifikat og hvem eller hva som signerer et sertifikat?
  • Eventuelle andre problemer? (Kanskje min begrensede kunnskap, og den begrensede kunnskapen til andre IT-fagfolk generelt, om alle viktige aspekter for en sikker CA. Er hvorfor KristoferA , Tom Leek , og andre fraråder på det sterkeste «homebrew» CA «s.

Sannsynligvis vil en profesjonell CA ha mer kompetanse på de tre første områdene, og de kan gjøre det bedre enn noen «selvtilfreds» som lager sin egen CA. Men fremdeles kommer tillitsfaktoren til å tenke spesielt på den siste delen.


1.) Gitt at selskapet mitt har et langsiktig forhold til disse leverandørene og klientene.

2.) Begrenset til sertifikater om egne servere og ansatte.

Kommentarer

  • Hvis du har interne vertsnavn som *.local, *.mycompany eller lignende, så er det uansett ingen vei å kjøre en intern CA, siden offentlig CA ikke lenger vil utsted sertifikater for ikke-offentlige domener.

Svar

Det er ingenting i veien med å kjøre din egen interne sertifikat myndighet; de aller fleste store selskaper som jeg har kommunisert med har sin egen interne CA.

Fordeler

  • Den nominelle kostnaden for et sertifikat blir nesten null når det amortiseres for nok systemer og brukere; Når du kjøper sertifikater fra en ekstern CA, vil dette aldri bli tilfelle.
  • Det kan være mye lettere å administrere sertifikatutløp og fornyelse, siden du kan tildele eierskap til en intern gruppe, i stedet for en enkelt bruker som ba om det.
  • Du kan gjøre alle slags pene ting som er veldig vanskelige eller dyre å gjøre med eksterne CA-er, for eksempel å lage jokertegn-serier for underdomener, som * .test.company.com, eller skape rare ugyldige serier for testformål (SHA-1 2017, 512-bit RSA, etc.)

Ulemper

  • Å kjøre en CA er veldig vanskelig. For din egen interne CA trenger du tydeligvis ikke å ha ganske høyt nivå av sikkerhetskontroller av en ekte CA, men det er fortsatt ganske komplekst.
  • Menneskene som er i stand til å skape og drive en CA er absolutt ikke billig; I det minste i USA kan du forvente at folk med sterk kunnskap om kryptografi og / eller PKI vil lage seks figurer.
  • Det er ikke bare nok å ha en CA, du må også bygge systemer Nettsteder / API-er for å be om sertifikater og håndtere tilbakekallinger, varslingssystemer for sertifikatfornyelse, installasjonspakker for å presse ut rotsertifikater osv. gratis heller.

For tilstrekkelig store selskaper blir det et vendepunkt der kostnadene ved å kjøpe alle disse eksterne sertifikatene og tapet av fleksibilitet som følger med dem blir et viktig nok problem for å lage din egen CA .

Ellers er jeg enig med de som advarte deg mot det. For de aller fleste små og mellomstore selskaper er det rett og slett ikke økonomisk å drive sitt eget CA, det gir mye mer mening å bare ta kontakt med et selskap som spesialiserer seg på saken. Selv tusen cer ts til $ 10 i året er en stjele sammenlignet med kostnadene for å sette opp en veldrevet intern CA.

Sammendrag

Det handler ikke om tillit, det handler om kostnad.

Kommentarer

  • Med 50 000 sertifikater på $ 10 / år, tar det bare 366 dager å være en syv-talls sum.Å investere i å etablere en intern CA kan godt koste mindre, og du kan til og med selge den ekspertisen på toppen.
  • @AndrewLeach, for et lite til mellomstort selskap et sertifikat for hver ansatt + hver (virtuell ) server + hver applikasjon vil sannsynligvis ikke legge opp til 50000.
  • I tillegg til det @KaspervandenBerg sa om antall sertifikater, vil en intern CA som genererer 50 000 sertifikater per år trolig kreve flere ansatte å vedlikeholde og utvikle seg. På grunn av det har jeg ' funnet det sjeldent å finne sertifiseringsinstanser utenfor verken mid-cap (eller større) selskaper eller teknologiselskaper som kanskje allerede har den kompetansen internt.
  • er den tredje ulempen for Joe Average ' s Windows-nettverk: Når du installerer CA-rollen på en server, får du nettstedet og gjenopprettingspunkter i ldap med en gang, og legger til root CA som klarert kan gjøres raskt per GPO
  • @HagenvonEitzen, utfordringene begynner å øke når du har enheter som ikke er Windows, som alle trenger å stole på Root CA. Mobile testenheter, programmer med egen cert-butikk (Firefox, java, spesielt på Linux-servere osv.), Mac-maskiner. Det jeg ' har funnet i selskapet mitt er at mange mennesker ikke ' ikke forstår at vi har en intern CA og bare prøver å klare oss etter godta manuelt " ugyldig cert " -melding.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *