Il termine "autorità di certificazione" si riferisce ai certificati di rilascio dell'organizzazione (symantec, comodo, let's encrypt, ...) o al dispositivo e al software che rilascia certificati da CSR o entrambi?
Quando si parla di "Autorità di certificazione" affidabile, ci riferiamo all'organizzazione / entità che rilascia i certificati e non allo strumento utilizzato per generarli. Si riferisce all'entità nel campo "Emittente / Rilasciato da" del certificato (ad esempio, DigiCert per questo sito Web). Pertanto, se hai rilasciato i tuoi certificati utilizzando gli stessi strumenti di DigiCert, ad esempio OpenSSL, non sarai ancora una CA attendibile dalla maggior parte dei browser. Potresti, naturalmente, essere una CA attendibile all'interno della tua organizzazione / rete / dispositivo gruppo .
Does the term "certificate authority" refer to the organization issuing certificates (symantec, comodo, let's encrypt, ...)
Tecnicamente, sì.
or to the device and software that issues certificates from CSRs or both?
In pratica, sì.
Un'Autorità di certificazione (CA) è definita come segue da RFC 5280 :
Following is a simplified view of the architectural model assumed by the Public-Key Infrastructure using X.509 (PKIX) specifications.
The components in this model are:
...
CA: certification authority;
...
CAs are responsible for indicating the revocation status of the certificates that they issue. Revocation status information may be provided using the Online Certificate Status Protocol (OCSP) [RFC2560], certificate revocation lists (CRLs), or some other mechanism. In general, when revocation status information is provided using CRLs, the CA is also the CRL issuer. However, a CA may delegate the responsibility for issuing CRLs to a different entity.
Chiaramente questa è una definizione organizzativa piuttosto che una descrizione dei componenti software necessari; anche la discussione su come funziona la revoca suggerisce "Questo, o quello, o, sai, qualcos'altro se vuoi" - descrive una responsabilità piuttosto che un requisito tecnico.
Detto questo , nella pratica , il termine CA viene spesso utilizzato per descrivere i bit tecnici che consentono a un'organizzazione di generare i propri certificati. Questo è un riflesso del fatto che ciò che rende affidabile una CA è ... la scelta di fidarsi di loro. Da RFC 5280 ancora:
A certificate user should review the certificate policy generated by the certification authority (CA) before relying on the authentication or non-repudiation services associated with the public key in a particular certificate. To this end, this standard does not prescribe legally binding rules or duties.
L'elenco delle CA attendibili varia da sistema operativo a sistema operativo e potenzialmente programma da programmare ... vedere, ad esempio, questo thread per Firefox:
We don't have a principled position against accepting admin-defined certs, or against accepting admin-defined certs which are provisioned using OS APIs and stores. However, we do not want to trust a root certificate on an entire platform by default just because the OS vendor trusts it. Even providing the option of switching to the OS store from our store means that some public sites would work in some Firefox installs and not others, which is not good for web compatibility.
Una volta arrivati al punto in cui le organizzazioni possono impostare la propria CA, una volta che si inizia a fare acquisti con l'archivio CA di Root sicuro per personalizzarlo per il proprio ambiente, il termine CA indica "quel server / software" e non così molto "l'autorità".
Quindi sentirai sicuramente le persone dire "CA" quando intendono "la nostra installazione di Microsoft Certificate Server che funge da CA attendibile per i nostri utenti interni".
Leggi altre domande sui tag terminology certificates certificate-authority