In de opmerkingen bij Het maken van mijn eigen CA voor een intranet raden verschillende mensen sterk af je eigen CA voor een intranet maken.
Vooral:
doe het niet. Nee. Slecht idee. Koop $ 10 CA ondertekende certificaten. Wees niet uw eigen CA. Nee. Nee. Slecht idee – KristoferA
Maar ook:
echo “Verlaat alle hoop, jullie die hier binnenkomen.” – Tom Leek
Waarom zou men meer vertrouwen stellen in een willekeurige CA die verkoopt certificaten voor $ 10 dan op de eigen IT-afdeling van het bedrijf?
(Ik ben zelfs geneigd om certificaten ondertekend door leveranciers of klanten 1, 2 meer te vertrouwen dan ik zou certificaten vertrouwen die zijn ondertekend door de gemeenschappelijke root-CAs.)
- Is het probleem veilig houden van de CA-server?
- Is het verspreiden en installeren van rootcertificaten de probleem?
- Is de RA en / of de distributie van up-to-date CRLs het probleem?
- Is het een probleem om te beperken wie of wat een certificaat ontvangt en wie of wat een certificaat ondertekent?
- Nog andere problemen? (Misschien is mijn beperkte kennis, en de beperkte kennis van andere IT-professionals in het algemeen, over alle essentiële aspecten voor een veilige CA. Waarom KristoferA , Tom Leek , en anderen raden “homebrew” CA “s ten zeerste af.
Waarschijnlijk zal een professionele CA meer expertise hebben op de eerste drie gebieden en zouden het beter kunnen doen dan enige «zelfvoldane» die zijn eigen CA opricht. Maar toch komt de vertrouwensfactor vooral voor het laatste deel in me op.
1.) Gezien het feit dat mijn bedrijf een langdurige relatie heeft met deze leveranciers en klanten.
2.) Beperkt tot certificaten over hun eigen servers en werknemers.
Opmerkingen
Antwoord
Er is helemaal niets mis met het runnen van uw eigen interne certificeringsinstantie; de overgrote meerderheid van de grote bedrijven waarmee ik contact heb gehad, hebben hun eigen interne CA.
Voordelen
- De nominale kosten van een cert worden bijna nul wanneer deze over voldoende systemen en gebruikers wordt afgeschreven; wanneer u certificaten aanschaft bij een externe CA, zal dit nooit het geval zijn.
- Het kan een stuk eenvoudiger zijn om het verlopen en verlengen van certificaten te beheren, aangezien u het eigendom aan een interne groep kunt toewijzen in plaats van aan een enkele gebruiker die erom heeft gevraagd.
- U kunt allerlei leuke dingen doen die erg moeilijk of duur zijn om te doen met externe CAs, zoals het maken van wildcard-certificaten voor subdomeinen, zoals * .test.company.com, of rare ongeldige certificaten maken voor testdoeleinden (SHA-1 2017, 512-bit RSA, etc.)
Nadelen
- Het runnen van een CA is erg moeilijk. Voor uw eigen interne CA hoeft u natuurlijk niet het beveiligingsniveau van een echte CA te hebben, maar het is nog steeds vrij complex.
- De mensen die in staat zijn om een CA zijn zeker niet goedkoop; in de VS kun je tenminste verwachten dat mensen met een sterke kennis van cryptografie en / of PKI zes cijfers halen.
- Het is niet alleen genoeg om een CA te hebben, je moet ook systemen bouwen om hen heen. Websites / APIs voor het aanvragen van certificaten en het afhandelen van intrekkingen, meldingssystemen voor certificaatvernieuwing, installatiepakketten om rootcertificaten uit te drukken, enz. Je zou een softwarepakket kunnen kopen dat veel van dit voor je beheert, maar dat is zeker niet ook gratis.
Voor voldoende grote bedrijven wordt er een omslagpunt waar de kosten van het kopen van al deze externe certificaten en het verlies aan flexibiliteit dat ermee gepaard gaat, een voldoende groot probleem worden om uw eigen CA te creëren .
Anders ben ik het eens met degenen die u ervoor hebben gewaarschuwd: voor de overgrote meerderheid van kleine tot middelgrote bedrijven is het gewoon niet economisch om hun eigen CA te runnen; het is veel logischer om Doe gewoon zaken met een bedrijf dat gespecialiseerd is in de kwestie. Zelfs duizend cer ts voor $ 10 per jaar is een koopje in vergelijking met de kosten van het opzetten van een goed beheerde interne CA.
Samenvatting
Het gaat niet om vertrouwen, het gaat om de kosten.
Reacties
- Met 50.000 certificaten voor $ 10 / jaar, duurt het slechts 366 dagen om een bedrag van zeven cijfers te krijgen.Investeren in het opzetten van een interne CA kost misschien wel minder, en je zou zelfs die expertise er bovenop kunnen verkopen.
- @AndrewLeach, voor een klein tot middelgroot bedrijf een certificaat voor elke werknemer + elke (virtuele ) server + elke applicatie zal waarschijnlijk niet oplopen tot 50.000.
- Naast wat @KaspervandenBerg zei over het aantal certificaten, zal een interne CA die 50.000 certificaten per jaar genereert waarschijnlijk meerdere werknemers nodig hebben onderhouden en ontwikkelen. Daarom heb ik ' ontdekt dat het zeldzaam is om CAs te vinden buiten mid-cap (of grotere) bedrijven of techbedrijven die die expertise al in huis hebben.
- is het derde nadeel voor Joe Average ' s Windows-netwerk: als je de CA-rol op een server installeert, krijg je meteen de website en reovcatiepunten in ldap, en voeg je je root-CA zoals vertrouwd kan snel worden gedaan per GPO
- @HagenvonEitzen, de uitdagingen beginnen zich toe te nemen wanneer je niet-Windows-apparaten hebt die allemaal de root-CA moeten vertrouwen. Mobiele testapparaten, programmas met hun eigen cert store (Firefox, java, vooral op Linux-servers enz.), Macs. Wat ik ' in mijn bedrijf heb gevonden, is dat veel mensen niet ' begrijpen dat we een interne CA hebben en proberen te beheren door het " ongeldige cert " bericht handmatig accepteren.
*.local
,*.mycompany
of iets dergelijks, dan is er toch geen manier om een interne CA te draaien, aangezien een openbare CA niet langer certificaten uitgeven voor niet-openbare domeinen.