Vilka är problemen med att skapa ett eget CA för intranät?

I kommentarerna till Skapa min egen CA för ett intranät rekommenderar flera personer starkt skapa ditt eget CA för ett intranät.

Speciellt:

gör det inte. Nej. Dålig idé. Köp 10 $ CA signerade certifikat istället. Var inte din egen CA. Nej Nej. Dålig idé – KristoferA

Men också:

eko ”Överge allt hopp, ni som kommer in här.” – Tom Leek

Varför ska man lägga mer förtroende för en godtycklig CA som säljer certifikat för $ 10 än i företagets egen IT-avdelning?

(Jag är till och med benägen att lita på certifikat undertecknade av leverantörer eller kunder 1, 2 mer än jag skulle lita på certifikat som undertecknats av de gemensamma rot-CA: erna.)

  • Är det säkert att hålla CA-servern säker?
  • Är distribution och installation av rotcertifikat problem?
  • Är RA och / eller distribution av aktuella CRL: er problemet?
  • Är det att begränsa vem eller vad som får ett certifikat och vem eller vad som undertecknar ett certifikat?
  • Några andra problem? (Kanske min begränsade kunskap och den begränsade kunskapen från andra IT-proffs i allmänhet om alla väsentliga aspekter för en säker CA. Är det varför KristoferA , Tom Leek och andra avråder starkt från «homebrew» CA ”.

Förmodligen kommer en professionell CA att ha mer expertis inom de tre första områdena och de kan göra bättre än någon «självbelåten» som skapar sin egen CA. Men fortfarande kommer förtroendefaktorn att komma ihåg särskilt för den sista delen.


1.) Med tanke på att mitt företag har en långvarig relation med dessa leverantörer och kunder.

2.) Begränsat till certifikat om sina egna servrar och anställda.

Kommentarer

  • Om du har interna värdnamn som *.local, *.mycompany eller liknande så finns det ändå ingen väg att köra en intern CA, eftersom offentlig CA inte längre utfärda certifikat för icke-offentliga domäner.

Svar

Det är inget alls fel med att köra din egen interna certifikatmyndighet de allra flesta stora företag som jag har interagerat med har sin egen interna CA.

Fördelar

  • Den nominella kostnaden för ett certifikat blir nästan noll när det skrivs av för tillräckligt med system och användare. när du köper certifikat från en extern CA kommer detta aldrig att bli fallet.
  • Det kan vara mycket lättare att hantera certifikatutgång och förnyelse, eftersom du kan tilldela äganderätt till en intern grupp istället för en enda användare som begärde det.
  • Du kan göra alla möjliga snygga saker som är mycket svåra eller dyra att göra med externa certifikatutfärdare, till exempel att skapa jokertecken för underdomäner, som * .test.company.com eller skapa konstiga ogiltiga certs för teständamål (SHA-1 2017, 512-bitars RSA, etc.)

Nackdelar

  • Att köra CA är väldigt svårt. För din egen interna CA behöver du uppenbarligen inte ha en helt säkerhetsnivå för en riktig CA, men det är fortfarande ganska komplicerat.
  • De människor som kan skapa och driva en CA är verkligen inte billiga; åtminstone i USA kan du förvänta dig att personer med stark kunskap om kryptografi och / eller PKI kommer att göra sex siffror.
  • Det räcker inte bara att ha en CA, du måste också bygga system Webbplatser / API: er för att begära certifikat och hantera återkallelser, anmälningssystem för certifikatförnyelse, installationspaket för att driva ut rotcertifikat etc. Du kan köpa ett mjukvarupaket som hanterar mycket av detta åt dig, men det är verkligen inte gratis heller.

För tillräckligt stora företag blir det en tipppunkt där kostnaden för att köpa alla dessa externa certifikat och förlusten av flexibilitet däri blir en tillräckligt viktig fråga för att skapa din egen CA .

Annars håller jag med dem som varnade dig för det: för de allra flesta små till medelstora företag är det helt enkelt inte ekonomiskt att driva ett eget CA, det är mycket mer meningsfullt att hantera bara ett företag som är specialiserat på ärendet. Även tusen cert ts till $ 10 per år är en stjäl jämfört med kostnaden för att skapa en välskött intern CA.

Sammanfattning

Det handlar inte om förtroende, det handlar om kostnad.

Kommentarer

  • Med 50 000 certifikat på $ 10 / år tar det bara 366 dagar att vara en summa på sju siffror.Att investera i att inrätta en intern CA kan mycket väl kosta mindre, och du kan till och med sälja den kompetensen på toppen.
  • @AndrewLeach, för ett litet till medelstort företag ett certifikat för varje anställd + alla (virtuellt ) server + varje applikation kommer antagligen inte att uppgå till 50 000.
  • Förutom vad @KaspervandenBerg sa om mängden certifikat kommer en intern CA som genererar 50 000 certifikat per år förmodligen att kräva flera anställda att upprätthålla och utveckla. På grund av det har jag ' funnit det sällsynt att hitta certifikatutfärdare utanför antingen medelstora företag (eller större) eller teknikföretag som redan kan ha den kompetensen internt.
  • är den tredje nackdelen för Joe Average ' s Windows-nätverk: Att installera CA-rollen på en server ger dig webbplatsen och omarbetningspunkter i ldap direkt och lägger till din root CA som betrodd kan göras snabbt per GPO
  • @HagenvonEitzen, utmaningarna börjar öka när du har enheter som inte är Windows och som alla behöver lita på Root CA. Mobila testenheter, program med egen certbutik (Firefox, java, särskilt på Linux-servrar etc), Mac-datorer. Vad jag ' har hittat i mitt företag är att många människor inte ' förstår att vi har en intern CA och bara försöker hantera genom accepterar manuellt " ogiltigt cert " meddelande.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *