Posso acquistare un certificato valido per la firma per uso interno?

Naviga le tue risposte
3

Quindi ora devo implementare il "trasporto sicuro" come definito da The Direct Project (non per menzionare reinventare un po 'di ruote, ma questa è un'altra storia per SO), mi trovo a fissare la canna per dover creare diverse dozzine di certificati S / MIME di utenti interni poiché (per ovvi motivi, penso), mi piacerebbe molto piace molto evitare di mettere il processo nelle loro mani il più possibile. Un certificato di "livello organizzazione" è fuori, perché "ragioni interne".

Quindi fondamentalmente la mia domanda è se è possibile acquistare una sorta di certificato di "CA organizzativa" da un esperto, che mi consentirà di generare e firmare certificati S / MIME, in modo da poter implementare le specifiche del Progetto diretto senza i destinatari i clienti che si preoccupano delle certificazioni non affidabili o devono tornare alla CA ogni volta che un utente si unisce / esce dall'organizzazione? Ho provato a verificare alcune CA che conosco, ma sembrano principalmente mirate al certificato SSL "utente finale con sito Web", quindi potrei mancare qualcosa. Suggerimenti accolti e accettati

Informazioni aggiuntive: per quegli anime fortunate che non hanno familiarità con esso, lo standard del Progetto diretto ha fondamentalmente mandato tutti i certificati utente disponibili tramite A DNS CERT RR e una query LDAP anonimo accessibile dall'esterno e un MTA con capacità S / MIME che può recuperare detto cert da entrambe le posizioni.

    
posta GeminiDomino 18.12.2013 - 18:02
fonte

2 risposte

2

Alcuni CA stabiliti accetteranno di venderti un certificato CA intermedio, ma con un costo piuttosto elevato. Ci sono diverse forze a portata di mano qui:

  • Una "CA stabilita" è "stabilita" in virtù del fatto che la sua chiave di root è inclusa nei normali browser e sistema operativo. L'operatore della CA potrebbe ottenere ciò firmando un contratto pesante con Microsoft, in cui ha promesso di applicare regole molto rigide quando verifica l'identità dei proprietari dei certificati. Quando una CA emette un certificato CA intermedio, delega la sua potenza. Senza mezzi termini, se acquisti un certificato CA intermedio da una CA stabilita, nulla ti impedisce tecnicamente di emettere un certificato falso, ad esempio "gmail.com", che tutti i browser Web sulla Terra accetteranno come autentici.

    Pertanto, le CA stabilite hanno promesso (con sanzioni in milioni di dollari) che se mai regalano un certificato CA intermedio a una terza parte, lo faranno solo all'interno di un quadro contrattuale pesante che consentirebbe una potente ritorsione legale , se questa terza parte inizia a emettere certificati senza la dovuta attenzione per quanto riguarda l'autenticazione dell'utente.

  • La CA stabilita guadagna vendendo i certificati. Vogliono tenerlo così. Quando acquisti un certificato CA intermedio, devi rilasciare i certificati dell'utente finale da te stesso e, quindi, smettere di acquistare tali certificati dalla CA stabilita. Dal loro punto di vista, questo è un business perduto. Quindi lo recupereranno valutando il certificato CA intermedio in modo rigoroso.

Inoltre, è troppo facile sottovalutare i costi di gestione di una CA. Una CA è crittografia al 5%, procedure del 95%. Le procedure indicano persone, carta e tempo. È caro. Mantenere la propria CA, che si tratti di una CA intermedia di una CA esterna o di una CA root completa, non vale la pena di fare meno di, diciamo, un migliaio di certificati da rilasciare all'anno. Le persone spesso credono che una CA fatta in casa sia solo una questione di scrivere un paio di script attorno a OpenSSL; e hanno torto.

    
risposta data 18.12.2013 - 19:55
fonte
0

VeriSign vende certificati ID digitali (S / MIME).

link

Se sei un'azienda di grandi dimensioni e desideri un auto-provisioning più semplice per i nuovi utenti, Verisign offre opzioni aziendali, ma devi contattarle telefonicamente.

    
risposta data 18.12.2013 - 18:20
fonte

Leggi altre domande sui tag

In teoria, i certificati x509 possono utilizzare schemi di revoca basati su Accumulator? Come funzionano questi schemi? Ottimizza il recupero dei dati degli utenti usando S3