Prós e contras da criação de uma autoridade de certificado interno

6

Quais são os prós e os contras de criar uma autoridade de certificação interna (principalmente Windows 2003 CA)? Temos a necessidade de criptografar o tráfego servidor-servidor em um projeto que possui mais de 20 certificados. Poderíamos comprar materiais da Verisign, mas eu estava pensando que uma CA interna poderia ser uma solução melhor a longo prazo. Então, eu estava olhando para a comunidade para fornecer uma lista de prós / contras do que poderíamos ganhar (ou perder) hospedando nossa própria autoridade de certificação? Obrigado antecipadamente pela ajuda.

certificate-authority 
Chade
fonte

Respostas:

12

Se você hospedar sua própria CA, ela será válida apenas em sites / computadores com o certificado raiz da CA instalado. Em outras palavras, apenas porque você tem sua própria CA não significa que seus certificados serão confiados por estranhos.

Se todos os seus servidores estiverem internamente e acessados ​​por software interno, sua própria CA é o caminho a seguir. Você pode implantar o certificado raiz da CA pelo GPO (se estiver em um domínio, a instalação da função da CA em um servidor deve fazer isso automaticamente) e todas as máquinas do seu domínio confiarão nele automaticamente.

No entanto, se o seu software for acessado publicamente (não soa como é), o software na outra extremidade poderá exibir avisos de certificado informando que não confia no seu publicado. Nesse caso, a única opção que você tem é comprar um certificado SSL de um fornecedor confiável (existem locais muito, muito mais baratos que a Verisign, se você não precisar das apólices de seguro).

Mark Henderson
fonte
resposta do livro de texto !!
Nick Kavadias
2
Acho que devo escrever um livro. Todos os livros que usei na Uni eram tão incrivelmente técnicos e difíceis de ler que simplesmente não me incomodei em comprar nenhum deles depois do primeiro semestre e apenas usei anotações das aulas.
Mark Henderson
5

Uma CA interna é válida apenas dentro de servidores que você possui e um certificado externo é bom em qualquer lugar. Essa é a resposta básica, mas há muito mais a considerar.

Prós

O custo por certificado é mais barato, quanto mais você gerar

Revogação - é muito fácil revogar um certificado que você gerou e você pode conceder curtos prazos de validade aos seus certificados

O acesso a certificados gratuitos geralmente significa maior uso - geralmente as pessoas começam a assinar seus e-mails e os administradores pensam em usar o isolamento de domínio e servidor em ambientes mistos

Contras

Requisitos de segurança adicionais - Esta máquina é possivelmente mais importante para proteger do que um controlador de domínio. Este sistema precisa ser completamente endurecido. Se você estiver usando esses certificados para algo significativo, precisará considerar as implicações se esses certificados forem comprometidos

Backup / alta disponibilidade - nada indica um fim de semana ruim, como o RH diz que sua autoridade de certificação agora morta deu a eles um certificado que eles usavam para criptografar os arquivos da folha de pagamento e agora não podem descriptografar os arquivos porque o certificado não pode ser validado. Verifique se o backup é feito com frequência e está altamente disponível

Responsabilidade - dependendo do que você deseja usar para alguns executivos de nível C, pode decidir que todo o dinheiro gasto com certificados da VeriSign é um desperdício, porque eles estão usando os certificados com precisão. Se seus certificados ficarem comprometidos e for um certificado VeriSign (e eu estou simplesmente usando a VeriSign como espaço reservado para qualquer autoridade de certificação de terceiros), é fácil mostrar que a culpa não é sua. Se você possui a CA ... bem, é possível que sua próxima experiência em TI esteja executando a caixa registradora computadorizada no restaurante de fast food de sua escolha.

Incapacidade de usar o certificado externo - não é impossível disponibilizar sua CA publicamente, ninguém confiará em um certificado da sua empresa. Embora isso não seja um grande problema, é um pouco mais caro manter duas tarefas de manutenção de certificados separadas (prazos de validade etc.). Você também pode considerar comprar um certificado raiz confiável

Ah, e se você precisar de certificados de EV - você está atualizando para o Windows 2008

Embora possa parecer que há mais desvantagens, muitas delas são apenas coisas que você deve estar ciente, em vez de um verdadeiro indicador negativo.

Jim B
fonte
0

Para vários servidores internos, você pode criar certificados conforme necessário e instalá-los muito mais rapidamente do que usar uma CA externa. Você precisará de um pouco de experiência. Ferramentas como tinyca tornam fácil criar uma CA. Para servidores acessados ​​publicamente, você desejará certificados de uma fonte externa.

Certificados para criptografar o tráfego geralmente são gerados de maneira interativa. Se você permitir apenas conexões da sua CA, não precisa se preocupar com o fato de alguém obter um certificado da CA externa e ingressar na sua rede. Nesse caso, as soluções de menor custo podem ser mais seguras.

BillThor
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.