Ho sentito da una sola persona che le aziende emettono spesso certificati personali per il loro uso interno. Non è firmato da nessuna CA pubblica. E lui dice che è uno standard aziendale. Non ho trovato nessuna prova per questo su Internet e quindi ecco la mia domanda - è davvero uno standard Enterprise e quali sono i vantaggi di avere tali certificati? Potrei trovare solo degli svantaggi.
Un certificato autofirmato è considerato un certificato firmato dalla chiave all'interno del certificato stesso. Questo non è comune per le installazioni di grandi dimensioni (ad esempio le aziende) perché non è scalabile, ovvero dovresti avere eccezioni o pinning di certificati per ogni certificato emesso.
Ciò che è stato probabilmente inteso è che un'azienda ha una propria struttura PKI con la propria CA radice interna e la utilizza per firmare i propri certificati. In questo caso è sufficiente che ciascun sistema si fidi della CA radice dell'azienda per verificare ogni certificato emesso dalla società. Questa configurazione è in realtà molto comune nelle aziende più grandi perché si adatta bene. Ma anche se questi certificati sono firmati dalla stessa loro loro sono non chiamati certificati autofirmati, perché questa frase ha già un significato diverso.
In primo luogo, uno standard è un insieme di azioni o regole che un'organizzazione può impostare e che generalmente supporta un criterio, come un criterio di sicurezza delle informazioni.
Come i certificati autofirmati sono utilizzati in un'azienda possono essere dettati in uno standard ma non esiste uno standard di settore che io conosca che parli di certificati autofirmati. Invece ci sono le migliori pratiche che possono generalmente essere seguite ma che potrebbero non essere "migliori" per alcune organizzazioni. In altre parole, se esiste un Enterprise Standard sull'uso dei certificati autofirmati, si applicherebbe a quell'azienda che ha scritto lo standard.
Ho fatto riferimento alla ISO 27002 e non ho trovato nulla di specifico sui certificati autofirmati.
Se stiamo parlando di certificati autofirmati su un server Web di produzione, azienda, Internet che richiede HTTPS, un certificato autofirmato sarebbe probabilmente una cattiva scelta. Se stiamo parlando dello stesso server che si trova nell'ambiente di test di uno sviluppatore, probabilmente è ok.
I certificati autofirmati sono generati in molti scenari all'interno di una LAN aziendale ma, a meno che non si tratti di un server Web che si trova su Internet, di solito vanno bene.
Nelle strutture PKI gerarchiche i certificati radice sono autofirmati per definizione. In azienda potresti avere la tua root aziendale installata nei trust store di ogni dispositivo in azienda, e sarà così valida come qualsiasi altra ancora di fiducia, quindi.
Il vantaggio principale di avere il tuo PKI è che puoi limitare i tuoi servizi ad accettare la catena di certificati solo dalla tua CA (root o intermedio dedicato), e nessuna terza parte sarà in grado di falsificarla facilmente (vedi le MCS Holdings caso, quest'anno) - come l'HPKP, ma senza il problema TOFU;).
Un'altra cosa importante è che per i servizi che non possono essere accessibili dall'esterno (ad esempio l'host nel dominio che esiste solo nella rete interna) devi semplicemente utilizzare la tua PKI, perché la CA pubblica non sarà in grado di eseguire la convalida.
Quando esegui PKI interna, non dovrai nemmeno pagare per ogni singolo certificato host. La soluzione alternativa della CA pubblica consiste nell'utilizzare i certificati jolly per più host (non molto sicuri: una violazione e tutti gli host sono compromessi) o pagare per ogni singolo certificato host.
Ciò che è importante, tuttavia, è che la PKI interna della compagnia debba essere gestita correttamente e controllata rigorosamente, secondo gli standard come CA / Browser Politica di certificazione dei requisiti di base del forum per l'emissione e la gestione di certificati di fiducia pubblica e / o Mozilla CA Certificate Policy . Probabilmente imparerai anche RFC 5280 e RFC 6960 nel processo.
Lo svantaggio principale che posso vedere è che la tua CA radice non sarà considerata attendibile da terze parti, e questo è l'unico caso in cui hai davvero bisogno di certificati emessi da CA pubblici - servizi che devono essere accessibili in Internet.
Un certificato ti fornisce (in generale) alcune cose:
Un certificato autofirmato soddisferà correttamente il primo bisogno (crittografia). Non sarà migliore o peggiore di un certificato fornito da un PKI.
Poiché si tratta di un certificato autofirmato, non si ha alcun mezzo per assicurarsi che sia affidabile (ogni server può averne uno). Questo potrebbe o non potrebbe essere un problema per te. Se è quindi deve essere firmato da una terza parte di cui entrambi si fida (chiamato in breve Autorità di certificazione, CA). Questa CA può essere interna all'azienda o esterna. Ciò che deve essere garantito è che è noto ai clienti (browser nel caso precedente). Questo è il caso delle principali CA commerciali e deve essere configurato in modo specifico per i browser che utilizzano una PKI interna.
Leggi altre domande sui tag tls