Prós e contras da criação de uma autoridade de certificação interna

Navegue suas respostas
6

Quais são os prós e contras de criar uma autoridade de certificação interna (principalmente a autoridade de certificação do Windows 2003)? Temos a necessidade de criptografar o tráfego servidor-servidor em um projeto que tenha mais de 20 certificados. Poderíamos comprar certificados da Verisign, mas eu estava pensando que uma CA interna poderia ser uma solução melhor a longo prazo. Então eu estava olhando para a comunidade para fornecer uma lista de prós / contras do que poderíamos ganhar (ou perder) hospedando nossa própria CA? Agradecemos antecipadamente pela ajuda.

    
por Chad 13.05.2010 / 04:23

3 respostas

12

Se você hospedar sua própria autoridade de certificação, ela só será válida em sites / computadores com o certificado raiz da CA instalado. Em outras palavras, só porque você tem sua própria CA não significa que seus certificados serão confiáveis para estranhos.

Se todos os seus servidores forem internos e acessados por software interno, sua CA será o caminho a seguir. Você pode implantar o certificado raiz da CA pelo GPO (se estiver em um domínio, a instalação da função da autoridade de certificação em um servidor deve ser feita automaticamente) e, em seguida, todas as máquinas do seu domínio irão confiar nele automaticamente.

No entanto, se o seu software é acessado publicamente (não parece ser), então o software na outra ponta pode muito bem trazer avisos de certificados afirmando que ele não confia em sua publicação. Nesse caso, a única opção que você tem é comprar um certificado SSL de um editor confiável (há muito, muito mais barato do que a Verisign, se você não precisa de suas apólices de seguro).

    
por 13.05.2010 / 04:26
5

Uma CA interna é válida somente dentro dos servidores que você possui e o certificado externo é bom em qualquer lugar. Essa é a resposta básica, mas há muito mais a considerar.

Prós

Custo por custo cert é mais barato quanto mais certs você gerar

Revogação - é muito fácil revogar um certificado que você gerou e você pode dar a seus certificados curtos prazos de validade

O acesso a certificados gratuitos geralmente significa maior uso. Geralmente, as pessoas começam a assinar seus e-mails e os administradores pensam em usar o isolamento de domínio e servidor em ambientes mistos

Contras

Requisitos adicionais de segurança - Esta máquina é possivelmente mais importante para proteger do que um controlador de domínio. Este sistema precisa ser completamente endurecido. Se você estiver usando esses certificados para qualquer coisa que seja significativa, você precisa considerar as implicações se esses certificados forem comprometidos

Backup / alta disponibilidade - Nada indica um fim de semana ruim, como ter o RH informando que sua CA agora obsoleta deu a eles um certificado usado para criptografar os arquivos de folha de pagamento e agora não pode descriptografar os arquivos porque o certificado não pode ser validado. Certifique-se de que o backup é feito com frequência e está altamente disponível

Responsabilidade - dependendo do que você quer usar para algum nível C, o executivo pode decidir que todo o dinheiro que gasta em certs da VeriSign é um desperdício, porque eles estão usando muito bem seus certificados. Se seus certs forem comprometidos e for um certificado da VeriSign (e eu simplesmente estiver usando a VeriSign como um espaço reservado para qualquer CA de terceiros), é fácil mostrar que não é sua culpa. Se você é o proprietário da CA ... bem, é possível que sua próxima experiência de TI possa estar executando a caixa registradora computadorizada no restaurante de fast food de sua escolha.

Incapacidade de usar o certificado externo - Não é impossível disponibilizar sua CA publicamente, ninguém confiará em um certificado da sua empresa. Embora isso não seja grande coisa, é um pouco mais sobrecarga para manter duas tarefas de manutenção cert separadas (tempos de expiração, etc.). Você também pode considerar comprar um certificado raiz confiável

Ah, e se você precisar de certificados EV, você está atualizando para o Windows 2008

Embora possa parecer que há mais contras, muitos deles são apenas coisas a ter em consideração, em vez de um verdadeiro indicador negativo.

    
por 13.05.2010 / 05:51
0

Para vários servidores internos, você pode criar certificados conforme necessário e implementá-los com muito mais rapidez do que usando a CA externa. Você precisará de um pouco de experiência. Ferramentas como tinyca fazem, se bastante fácil de criar uma CA. Para servidores acessados publicamente, você desejará certificados de uma fonte externa.

Certificados para criptografia de tráfego são frequentemente gerados interativamente. Se você permitir conexões apenas de sua CA, não precisará se preocupar com o fato de alguém obter um certificado de sua CA externa e ingressar em sua rede. Nesse caso, as soluções de custo mais baixo podem ser mais seguras.

    
por 13.05.2010 / 08:50

Tags

As peças sobressalentes do servidor devem ser armazenadas em armazenamento com controle climático? Ubuntu 12.04 Certificado SSL autoassinado do LDAP não aceito