Distribuzione CA CERT privata PKI con CA pubblica SSL? Qualche punto?

1

di responsabilità. Non sono nemmeno sicuro se la domanda è formulata correttamente nel titolo. Nemmeno sono sicuro che sto facendo la domanda giusta. Se la letteratura è pertinente a questo argomento, sarebbe molto apprezzata.

Sto guardando hashicorp vault per facilitare la firma / autenticazione del certificato, ecc. Una cosa che mi infastidisce è la sicurezza della distribuzione del certificato e della firma della CA radice.

In sostanza Vault deve essere protetto utilizzando SSL. Se la chiave privata della CA di Internet viene compromessa, non ha senso utilizzare Vault (o qualsiasi processo PKI che si basa su Internet CA) se l'attaccante decide di MITM e cambia il certificato distribuito.

Suppongo che la domanda sia:

C'è qualche punto o guadagno significativo nella configurazione di un'infrastruttura PKI privata che si basa sulla PKI pubblica per la firma / distribuzione?

    
posta Sleeper Smith 15.12.2016 - 23:37
fonte

1 risposta

1

Lo svantaggio principale di rilasciare il tuo certificato di origine è che dovrai installarlo in ogni browser e sistema operativo della tua organizzazione. A seconda del numero di computer con cui hai a che fare e dei tipi di computer, potrebbe essere molto lavoro. (Ad esempio, i dispositivi IoT potrebbero non essere un buon modo per aggiornare i loro certificati radice attendibili.) Inoltre, si tenga presente che l'installazione di un certificato radice affidabile in una macchina significa che la macchina è esposta durante il processo di installazione. una vulnerabilità per l'installazione di un certificato canaglia.

A seconda del modello di utilizzo e delle politiche di sicurezza, potrebbe anche essere necessario fornire un modo per gli utenti che portano i propri dispositivi (BYOD) a scaricare e installare il certificato sulle proprie macchine.

Un altro svantaggio di crearne uno è la complessità della manutenzione. Basta montare un nuovo certificato con openssl è abbastanza facile, ma devi pianificare in anticipo per proteggere la chiave privata, ottenere il backup e tutte le copie memorizzate in modalità sicura offline, ecc. Mantenere le copie in un luogo sicuro per 20 anni può essere abbastanza una sfida (avresti ancora un modo per recuperare un'immagine da un disco floppy di 20 anni oggi? In 20 anni, avrai ancora un modo per leggere un CD-ROM di 20 anni?) documentarlo completamente, in modo che tra 20 anni da quando questo certificato di root scadrà, il prossimo amministratore della CA saprà come fare un nuovo certificato, proteggerlo e distribuirlo. Tra 19 anni chi comunicherà alla direzione che la vecchia CA radice sta per scadere?

Gli esperti di PKI sono pochi e distanti tra loro, quindi trovarne uno quando ne hai bisogno può essere una sfida per un'organizzazione più piccola. Potrebbe essere necessario portare un consulente costoso per aiutarti a configurarlo in modo sicuro.

Dovrai anche fornire un server OCSP o almeno ospitare un CRL da qualche parte (anche se ne avrai comunque bisogno).

I vantaggi della firma con il certificato pubblico è che il certificato pubblico è già incorporato in tutti i browser commerciali e open source. Lo svantaggio principale è il costo: è probabile che le CA commerciali addebitino un premio per un certificato con l'autorità CSA.

Un altro vantaggio del certificato pubblico è che i tuoi certificati funzioneranno al di fuori della tua organizzazione. Non dovrai distribuire il certificato di origine interno ai tuoi fornitori e partner, che non vorranno installare il tuo certificato perché avranno scarsi motivi per credere che la tua PKI sia sicura. Ovviamente, puoi aggirare questo problema anche con un PKI privato semplicemente acquistando alcuni certificati firmati esternamente per le macchine a cui i tuoi partner si connettono.

Tutto sommato, costruire il tuo PKI ti lascia completamente al comando del tuo destino, che può essere una buona cosa. Assicurati di essere abbastanza bravo per essere sicuro, perché hai a che fare con la sicurezza dell'infrastruttura informatica dell'intera organizzazione per i prossimi 20 anni. Non progettarlo da solo e assicurati di ottenere l'approvazione a livello esecutivo su qualsiasi decisione tu prendi.

    
risposta data 16.12.2016 - 01:31
fonte

Leggi altre domande sui tag