Struttura dell'autorità di certificazione: best practice

Naviga le tue risposte
3

Lavoro per un'azienda che vende prodotti software a clienti alcuni dei quali non hanno le risorse e / o il know-how per costruire e mantenere la propria CA (utilizzata per la comunicazione SSL del nostro software). In questi casi dobbiamo fornire i certificati per loro. I clienti sono completamente indipendenti e NON dovrebbero essere in grado di comunicare tra loro, cioè non ci dovrebbe essere alcun trust SSL tra Cliente I e Cliente II. Ho una domanda piuttosto generale su come costruire al meglio una simile struttura CA. Queste sono le due varianti attualmente considerate.

Azienda CA principale con SubCA per ciascun cliente: 

                    Root CA                  
        /               |              \
       /                |               \
 Customer I     Customer II       Customer III

CA indipendente (radice) per ogni cliente: 

 Customer I     Customer II       Customer III

Quali sarebbero i pro e i contro di ciascuna variante? Esiste una best practice consolidata per tale impostazione?

    
posta Michael Seiwald 05.06.2014 - 12:20
fonte

2 risposte

2

Quando le persone distribuiscono siti Web HTTPS, acquistano spesso "certificati SSL" dalla CA commerciale. Pertanto, molti siti utilizzeranno i certificati emessi dalla stessa CA radice e tuttavia non si fidano l'uno dell'altro. Stessa situazione qui: l'utilizzo di una singola radice non indurrà indesiderate relazioni di fiducia tra clienti.

    
risposta data 05.06.2014 - 12:41
fonte
0

Utilizza una chiave per firmare il certificato del tuo server e un'altra per firmare tutti i tuoi clienti. In realtà non hanno fiducia nel firmatario per il certificato che stanno usando. Non è importante che il client si fidi del certificato che stanno utilizzando, è importante che la persona con cui stanno comunicando (tu) lo faccia.

    
risposta data 05.06.2014 - 15:33
fonte

Leggi altre domande sui tag

Le note legali in un banner di accesso sono legalmente significative in termini di uso improprio del computer? Come si fa a sniffare un dato da un router upstream?