L'autenticazione CERT client con un certificato PKI di terze parti è più sicura rispetto all'uso dell'autofirmato?

2

Sto lavorando su un piccolo progetto M2M (alcune centinaia di nodi collegati a un singolo cloud server) e voglio utilizzare l'autenticazione del certificato client, con ogni cliente che ottiene il proprio certificato unico al momento della produzione. Durante lo sviluppo abbiamo utilizzato un file .crt e .key autofirmato per generare i certificati client e tutto ha funzionato bene. Possiamo rilasciare e revocare certificati in base alle esigenze e il nostro servizio cloud fa la cosa giusta per rifiutare la connessione se il certificato del cliente non è valido o revocato.

Ora ci stiamo avvicinando al tempo di produzione, e mi chiedo se questo è un approccio abbastanza sicuro, o se c'è un certo valore nell'acquistare un pacchetto PKI da una CA "reale". I nodi client saranno distribuiti in tutto il mondo e si collegheranno tramite connessioni Internet regolari (senza VPN, probabilmente con molte connessioni NAT), se questo fa alcuna differenza.

    
posta user67560 02.02.2015 - 21:51
fonte

1 risposta

1

Se ti fidi della sicurezza presente nella configurazione della tua CA e non hai bisogno che altre entità si fidino di te, ma solo che i tuoi nodi si fidino l'un l'altro, probabilmente stai bene con la tua configurazione attuale.

Se vuoi che altre entità si fidino di te, dovresti utilizzare una CA pubblica o puoi rilasciare a tale terza parte un certificato tale che possa fidarsi dei tuoi certificati. Potresti anche scambiare certificati e avere l'autenticazione reciproca in cui ti fidi l'un l'altro.

Se non ti fidi della configurazione della tua CA, dovresti utilizzare una CA pubblica. Si noti che in genere una CA pubblica dispone di un HSM radice in modalità offline che memorizza il certificato di origine e i server CA subordinati per ruoli diversi (rilascio, revoca ecc.) E gli audit e la convalida su questi possono essere abbastanza approfonditi.

Sono sicuro che ci sono molte altre considerazioni, ma lo lascerò a quelli che conoscono meglio.

    
risposta data 02.02.2015 - 22:27
fonte

Leggi altre domande sui tag