Emitir certificados de clientes para clientes

Navegue suas respostas
1

Qual é a melhor abordagem para a emissão de certificados de clientes para os clientes? Devemos executar nossos próprios serviços de certificado (estamos no Win 2008 R2) e editá-los dessa maneira? Existe uma CA que irá emiti-los para nós? A Comodo emitirá certificados de clientes para fins de e-mail, mas precisamos deles para permitir que nossos clientes acessem nosso site (via navegador e API).

    
por James Crowley 22.02.2012 / 11:47

1 resposta

2

Uma empresa de autoridade de certificação profissional tem mais experiência na proteção de transações da CA e pode lidar com essa terceirização, por uma taxa . Isso pode ser um certificado de US $ 10, mas provavelmente atende aos padrões governamentais ou comerciais aplicáveis a setores regulamentados e à transferência geral de riscos (fora de sua empresa).

Embora um pop de US $ 10 possa ser assustador, lembre-se de que uma CA também receberá todos os custos adequados associados à execução de uma CA real

  • Cercos físicos da autoridade de certificação
  • Equipe de PKI treinada
  • Política de certificados (CP)
  • Declaração de Práticas de Certificação - (CPS), um SOP sobre como funciona
  • Auditoria anual por meio de um auditor independente
  • aquisição e operação do módulo de segurança de hardware
  • operação do software de autoridade de certificação (autoridade de certificação raiz)
  • operação do software de autoridade de certificação (Sub CA)
  • operação de software de autoridade de validação
  • servidores
  • espaço do datacenter
  • auditoria de segurança da infraestrutura acima

Trabalhar com uma autoridade de certificação pode permitir que você execute uma autoridade de registro que determine quem receberá credenciais e entregue a parte mais dolorosa a uma autoridade de certificação, dependendo do modelo específico dessa autoridade de certificação.

As implementações de PKI baseadas em Windows geralmente são inseguras, têm PKIs on-line e facilmente comprometidas que expõem as empresas a riscos. Eles raramente usam HSMs, e um comprometimento do administrador de domínio pode gerar um comprometimento completo da PKI.

Os certificados digitais padrão podem ser usados tanto para acessar sites, como para logon em domínios, criptografia de e-mail, assinaturas e entrada física, dependendo dos IDs de certificado e objeto (OIDs). Os certificados digitais podem estar em software (vulnerável a roubo) ou hardware (mais seguros, mas ainda assim comprometidos através de ataques MITM de malware).

Muitas empresas enfrentam a mesma decisão que você em parceria com um provedor de PKI que aconselhará. Mas existem vários modelos para isso

  • treinar equipe e ir para dentro
  • envolva um consultor e vá para dentro
  • use um provedor externo
  • híbrido interno e externo

Você pode facilmente emitir uma RFI para vários CAs diferentes e provedores de PKI para determinar seus custos e implementações de amostra que eles executaram para requisitos semelhantes aos seus. Com uma RFP mais detalhada, você poderia fazer uma extensa comparação de custos entre a execução de serviços de PKI internos para sua empresa, a terceirização ou um híbrido.

Com os dados acima e conhecendo as principais competências da sua empresa, você está preparado para tomar essa decisão sobre se deve fazê-lo internamente, externamente e com quem. Mesmo se você decidir ficar interno, você terá aprendido muito mais no processo.

    
por 06.04.2012 / 03:49

Tags

Squid Proxy - Fazendo exatamente o oposto do que eu quero - inverta Allow / Deny Solução VPN de hardware?