Quais são os problemas em criar uma própria CA para intranet?

Nos comentários sobre Criação de minha própria CA para uma intranet , várias pessoas desaconselham fortemente criando sua própria CA para uma intranet.

Especialmente:

não faça isso. Não. Má ideia. Compre $ 10 de CA certificados assinados em vez disso. Não seja sua própria CA. Não. Não. Má ideia – KristoferA

Mas também:

echo “Abandone toda esperança, vocês que entram aqui.” – Tom Leek

Por que alguém deveria confiar mais em uma CA arbitrária que vende certificados por US $ 10 do que no próprio departamento de TI da empresa?

(Estou até inclinado a confiar em certificados assinados por fornecedores ou clientes 1, 2 mais do que eu confiaria em certificados assinados por CA “s raiz comum.)

  • Manter o servidor CA seguro é o problema?
  • Distribuir e instalar certificados raiz é o problema?
  • O RA e / ou a distribuição de CRLs atualizados é o problema?
  • É um problema restringir quem ou o que recebe um certificado e quem ou o que assina um certificado?
  • Algum outro problema? (Talvez meu conhecimento limitado, e o conhecimento limitado de outros profissionais de TI em geral, sobre todos os aspectos essenciais para uma CA segura. Por que KristoferA , Tom Leek e outros desaconselham vivamente «homebrew» CA “s.

Provavelmente, um CA profissional terá mais experiência nas três primeiras áreas e poderia fazer melhor do que qualquer «presunçoso» que crie o seu próprio CA. Mas ainda assim o fator de confiança vem à mente especialmente para a última parte.


1.) Dado que minha empresa tem uma relação de longo prazo com esses fornecedores e clientes.

2.) Restrito a certificados sobre seus próprios servidores e funcionários.

Comentários

  • Se você tem nomes de host internos como *.local, *.mycompany ou semelhante, então não há como evitar a execução de uma CA interna, uma vez que a CA pública não mais emitir certificados para domínios não públicos.

Resposta

Não há nada de errado em executar seu próprio sistema interno autoridade de certificação; a grande maioria das grandes empresas com as quais tenho interagido têm sua própria CA interna.

Vantagens

  • O custo nominal de um certificado torna-se quase zero quando amortizado por sistemas e usuários suficientes; quando você compra certificados de uma CA externa, isso nunca será o caso.
  • Pode ser muito mais fácil gerenciar a expiração e renovação de certificados, pois você pode atribuir a propriedade a um grupo interno, em vez de um único usuário que solicitou.
  • Você pode fazer todos os tipos de coisas legais que são muito difíceis ou caras de fazer com CAs externas, como criar certificados curinga para subdomínios, como * .test.company.com, ou criação de certificados inválidos estranhos para fins de teste (SHA-1 2017, RSA de 512 bits, etc.)

Desvantagens

  • Executar um CA é realmente difícil. Para sua própria CA interna, obviamente você não precisa ter o nível de controle de segurança de uma CA real, mas ainda é bastante complexo.
  • As pessoas que são capazes de criar e executar um CA certamente não é barato; nos Estados Unidos, pelo menos, você pode esperar que pessoas com grande conhecimento de criptografia e / ou PKI façam seis dígitos.
  • Não é apenas o suficiente ter uma CA, você também precisa construir sistemas em torno deles. Sites / APIs para solicitar certificados e lidar com revogações, sistemas de notificação para renovação de certificados, pacotes de instalação para enviar certificados raiz, etc. Você poderia comprar um pacote de software que gerencia muito disso para você, mas certamente não é gratuitamente.

Para empresas suficientemente grandes, chega-se a um ponto crítico onde o custo de aquisição de todos esses certificados externos e a perda de flexibilidade neles inerente se torna um problema significativo o suficiente para criar sua própria CA .

Caso contrário, concordo com aqueles que o alertaram contra isso: para a grande maioria das empresas de pequeno e médio porte, simplesmente não é econômico administrar sua própria CA; faz muito mais sentido basta lidar com uma empresa especializada no assunto. Até mil cer ts a $ 10 por ano é um roubo quando comparado ao custo de configurar uma CA interna bem gerida.

Resumo

Não se trata de confiança, mas de custo.

Comentários

  • Com 50.000 certificados em $ 10 / ano, leva apenas 366 dias para ser uma soma de sete dígitos.Investir na criação de uma CA interna pode custar menos, e você pode até vender esse conhecimento por cima.
  • @AndrewLeach, para uma empresa de pequeno a médio porte, um certificado para cada funcionário + todos (virtuais ) servidor + cada aplicativo provavelmente não somará 50.000.
  • Além do que @KaspervandenBerg disse sobre a quantidade de certificados, uma CA interna que está gerando 50.000 certificados por ano provavelmente exigirá vários funcionários para manter e desenvolver. Por causa disso, ' descobri que é raro encontrar CAs fora de empresas de médio porte (ou maiores) ou de tecnologia que já podem ter esse conhecimento interno.
  • é o terceiro diadvantage para Joe Average ' s Rede do Windows: Instalar a função CA em um servidor fornece o site e os pontos de recuperação no ldap imediatamente, e adicionando seu A CA raiz como confiável pode ser feita rapidamente por GPO
  • @HagenvonEitzen, os desafios começam a aumentar quando você tem dispositivos não Windows em que todos precisam confiar na CA raiz. Dispositivos de teste móveis, programas com sua própria loja de certificados (Firefox, java, especialmente em servidores Linux, etc.), Macs. O que ' descobri em minha empresa é que muitas pessoas não ' não entendem que temos uma CA interna e apenas tentamos gerenciar por aceitar manualmente a mensagem " certificado inválido ".

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *