Lo svantaggio principale di rilasciare il tuo certificato di origine è che dovrai installarlo in ogni browser e sistema operativo della tua organizzazione. A seconda del numero di computer con cui hai a che fare e dei tipi di computer, potrebbe essere molto lavoro. (Ad esempio, i dispositivi IoT potrebbero non essere un buon modo per aggiornare i loro certificati radice attendibili.) Inoltre, si tenga presente che l'installazione di un certificato radice affidabile in una macchina significa che la macchina è esposta durante il processo di installazione. una vulnerabilità per l'installazione di un certificato canaglia.
A seconda del modello di utilizzo e delle politiche di sicurezza, potrebbe anche essere necessario fornire un modo per gli utenti che portano i propri dispositivi (BYOD) a scaricare e installare il certificato sulle proprie macchine.
Un altro svantaggio di crearne uno è la complessità della manutenzione. Basta montare un nuovo certificato con openssl è abbastanza facile, ma devi pianificare in anticipo per proteggere la chiave privata, ottenere il backup e tutte le copie memorizzate in modalità sicura offline, ecc. Mantenere le copie in un luogo sicuro per 20 anni può essere abbastanza una sfida (avresti ancora un modo per recuperare un'immagine da un disco floppy di 20 anni oggi? In 20 anni, avrai ancora un modo per leggere un CD-ROM di 20 anni?) documentarlo completamente, in modo che tra 20 anni da quando questo certificato di root scadrà, il prossimo amministratore della CA saprà come fare un nuovo certificato, proteggerlo e distribuirlo. Tra 19 anni chi comunicherà alla direzione che la vecchia CA radice sta per scadere?
Gli esperti di PKI sono pochi e distanti tra loro, quindi trovarne uno quando ne hai bisogno può essere una sfida per un'organizzazione più piccola. Potrebbe essere necessario portare un consulente costoso per aiutarti a configurarlo in modo sicuro.
Dovrai anche fornire un server OCSP o almeno ospitare un CRL da qualche parte (anche se ne avrai comunque bisogno).
I vantaggi della firma con il certificato pubblico è che il certificato pubblico è già incorporato in tutti i browser commerciali e open source. Lo svantaggio principale è il costo: è probabile che le CA commerciali addebitino un premio per un certificato con l'autorità CSA.
Un altro vantaggio del certificato pubblico è che i tuoi certificati funzioneranno al di fuori della tua organizzazione. Non dovrai distribuire il certificato di origine interno ai tuoi fornitori e partner, che non vorranno installare il tuo certificato perché avranno scarsi motivi per credere che la tua PKI sia sicura. Ovviamente, puoi aggirare questo problema anche con un PKI privato semplicemente acquistando alcuni certificati firmati esternamente per le macchine a cui i tuoi partner si connettono.
Tutto sommato, costruire il tuo PKI ti lascia completamente al comando del tuo destino, che può essere una buona cosa. Assicurati di essere abbastanza bravo per essere sicuro, perché hai a che fare con la sicurezza dell'infrastruttura informatica dell'intera organizzazione per i prossimi 20 anni. Non progettarlo da solo e assicurati di ottenere l'approvazione a livello esecutivo su qualsiasi decisione tu prendi.