Ho letto un articolo interessante su qualcosa chiamato autocsr per certificati SSL. Dopo aver letto non riesco ancora a capire come funziona. La generazione di CSR non avviene sulla mia scatola? La CA non avrà accesso alla mia casella. È davvero sicuro come proclama? grazie
AutoCSR interrompe il principio secondo cui la chiave privata deve essere generata sulla macchina in cui verrà utilizzata e non lasciare mai la macchina. Genera la coppia di chiavi pubblica / privata su una macchina della CA, trasferisce la chiave privata via Internet in forma crittografata insieme al certificato e la cancella sulla macchina in cui è stata creata.
Da un lato, ciò riduce la sicurezza. Invece di controllare autonomamente la chiave privata, devi affidarti alle procedure e alle misure di sicurezza della CA per assicurarti che la generazione delle chiavi avvenga in modo sicuro, non ci sono davvero tracce della tua chiave segreta lasciata ovunque sui loro sistemi e la chiave non viene divulgata o manipolato da terzi malintenzionati in transito.
D'altra parte, può aumentare la sicurezza. Generare una coppia di chiavi pubblica / privata richiede una certa esperienza. Ci sono stati incidenti con chiavi deboli e servizi che non offrivano la crittografia perché la sfida di configurarla era troppo grande per loro, che avrebbe potuto essere evitata usando un servizio come AutoCSR.
In breve, se hai l'esperienza e le attrezzature disponibili per farlo correttamente, la creazione della coppia di chiavi sul computer di destinazione sarà sicuramente più sicura. In caso contrario, è un compromesso tra le capacità della tua organizzazione e la tua fiducia nella CA per farlo bene.
Leggi altre domande sui tag tls certificate-authority