Quali sono i problemi con la creazione di una propria CA per intranet?

Naviga le tue risposte
11

Nei commenti a Creazione della mia CA per una rete intranet diverse persone sconsigliano vivamente di creare la propria CA per una intranet.

In particolare:

don't do it. Nope. Bad idea. Buy $10 CA signed certificates instead. Don't be your own CA. No. Nope. Bad idea — KristoferA

Ma anche:

echo "Abandon all hope, ye who enter here." — Tom Leek

Perché dovremmo fidarci di più in una CA arbitraria che vende certificati per $ 10 rispetto al reparto IT della società?

(Sono persino incline a fidarsi dei certificati firmati dai fornitori o dai clienti 1, 2 più di quanto mi sarei fidato dei certificati firmati dalle CA radice comuni.)

  • Il server CA sta mantenendo il problema?
  • La distribuzione e l'installazione dei certificati di root è un problema?
  • L'AR e / o la distribuzione di CRL aggiornati sul problema?
  • Limita chi o cosa riceve un certificato e chi o cosa firma un certificato per un problema?
  • Qualche altro problema? (Forse la mia conoscenza limitata e la conoscenza limitata di altri professionisti IT in generale, su tutti gli aspetti essenziali per una CA sicura. Ecco perché KristoferA , Tom Leek , e altri sconsigliano vivamente i CA «homebrew».

Probabilmente una CA professionista avrà più esperienza nelle prime tre aree e potrebbe fare meglio di qualsiasi "compiaciuto" che crea la propria CA. Ma ancora il fattore di fiducia viene in mente soprattutto per l'ultima parte.

1.) Dato che la mia azienda ha una relazione a lungo termine con questi fornitori e clienti.

2.) Limitato ai certificati sui propri server e dipendenti.

    
posta Kasper van den Berg 16.05.2015 - 16:06
fonte

1 risposta

16

Non c'è niente di sbagliato nell'esecuzione della propria autorità di certificazione interna; la stragrande maggioranza delle grandi aziende con cui ho interagito hanno una propria CA interna.

Vantaggi

  • Il costo nominale di un certificato diventa quasi pari a zero se ammortizzato su un numero sufficiente di sistemi e utenti; quando acquisti certificati da una CA esterna, questo non diventerà mai il caso.
  • Può essere molto più semplice gestire la scadenza e il rinnovo del certificato, poiché è possibile assegnare la proprietà a un gruppo interno anziché a un singolo utente che lo ha richiesto.
  • Puoi fare ogni sorta di cose chiare che sono molto difficili o costose da fare con CA esterne, come la creazione di certificati jolly per sottodomini, come * .test.company.com, o la creazione di strani certs non validi a scopo di test (SHA -1 2017, RSA a 512 bit, ecc.)

Svantaggi

  • L'esecuzione di una CA è davvero difficile. Per la tua CA interna, ovviamente non è necessario disporre di un livello abbastanza elevato di controlli di sicurezza di una CA reale, ma è ancora piuttosto complesso.
  • Le persone che sono in grado di creare e gestire una CA non sono certamente economiche; almeno negli Stati Uniti, ci si può aspettare che le persone con una solida conoscenza della crittografia e / o PKI realizzino sei cifre.
  • Non è sufficiente avere una CA, devi anche creare sistemi attorno a loro. Siti web / API per la richiesta di certificati e revoche di gestione, sistemi di notifica per il rinnovo dei certificati, pacchetti di installazione per estrarre i certificati di root, ecc. Potresti acquistare un pacchetto software che gestisce molto questo per te, ma non è certamente neanche gratuito.

Per aziende sufficientemente grandi, diventa un punto critico in cui il costo di acquisto di tutti questi certificati esterni e la perdita di flessibilità che ne consegue diventa un problema abbastanza significativo da creare la propria CA.

Altrimenti, sono d'accordo con chi ti ha messo in guardia contro questo: per la stragrande maggioranza delle piccole e medie imprese, non è semplicemente economico gestire la propria CA; ha molto più senso trattare semplicemente con una società specializzata in materia. Anche un migliaio di certificati a $ 10 all'anno è un furto rispetto al costo di creazione di una CA interna ben gestita.

Riepilogo

Non si tratta di fiducia, si tratta di un costo.

    
risposta data 16.05.2015 - 16:27
fonte

Leggi altre domande sui tag

Le informazioni sul sistema operativo dovrebbero essere nel DNS? Esiste una catena di proxy (ad esempio uno che si connette a un altro e un altro e così via) rendendo più difficile / impossibile l'individuazione dell'IP originale?