Esistono innumerevoli articoli e best practice su come consigliare l'uso di un'autorità di certificazione radice (CA) offline. Anche se, come suggerisce il titolo, questa raccomandazione è obsoleta?
Il contesto della mia domanda è per le piccole e medie imprese. NON grandi imprese (o altro) con più livelli di CA subordinate.
Revocare un certificato CA root, come discusso nei post precedenti, è un processo difficile. Può essere raggiunto solo tramite:
- aggiornamenti software
- script
- sistemi di gestione della configurazione
- adhoc
La premessa di una CA root offline (metaforicamente parlando) è di averla su un laptop dove viene portata online solo per approvare una CA subordinata. Altrimenti risiede nella massima sicurezza fisica possibile. Se una CA subordinata viene compromessa, non tutto è perduto poiché la CA root offline funziona correttamente. Tuttavia, la grande maggioranza non include un punto di distribuzione CRL (CDP) che rende impossibile determinare quali certificati sono stati revocati. Così facendo la revoca di una CA subordinata immediata simile a quella di una revoca della CA radice. Nulla è stato ottenuto avendo una CA root offline al primo posto.
L'alternativa è pubblicare un CDP che sembra avere più senso ma non consente più alla CA radice di essere offline. Se il CDP viene aggiornato una volta al mese, nel peggiore dei casi i clienti non identificheranno un certificato revocato per un intero mese. Nel frattempo l'amministrazione di questo richiede al personale di riavviare il sistema e aggiornare il CDP mensilmente. L'allungamento di questa finestra (+1 mese) crea solo una finestra più grande in cui i client si fidano di un certificato revocato mentre accorcia questa finestra chiarisce che il sistema dovrebbe restare online a causa del sovraccarico amministrativo.
In base a ciò, sembra che le CA root offline debbano essere utilizzate solo in aziende molto grandi con più livelli di CA subordinate. Sebbene questi siano minimi poiché spesso dispongono già di un'infrastruttura di certificati e dovrebbero essere considerati l'eccezione in cui vengono utilizzate le CA radice offline. La stragrande maggioranza delle nuove implementazioni si trova nelle reti di piccole e medie dimensioni in cui la CA principale deve rimanere online in modo che possa pubblicare frequentemente sul CDP. Tornando così alla mia domanda, la CA root offline è obsoleta?