In che modo esattamente le autorità di registrazione sono collegate alle autorità di certificazione?

0

Nella preparazione all'esame CISSP, il materiale del corso sembra enfatizzare un ruolo distinto tra un'autorità di certificazione e un'autorità di registrazione . Come da descrizione della guida allo studio:

Registration authorities (RAs) assist CAs with the burden of verifying users' identities prior to issuing digital certificates. They do not directly issue certificates themselves, but they play an important role in the certification process, allowing CAs to remotely validate user identities.

È tutto questo un processo / ruolo funzionale interno che i clienti non vedono realmente? Se vado dal venditore CA "Widget Certs, Inc" e invio la CSR tramite il sito web, sembra che tutto venga elaborato da un'entità singolare.

Per rendere le cose più confuse ... il materiale del corso più avanti afferma:

When you want to obtain a digital certificate, you must first prove your identity to the CA in some manner; this process is called enrollment.

    
posta Mike B 26.04.2017 - 01:45
fonte

2 risposte

2

Questo processo di iscrizione viene confuso involontariamente.

In molti casi, RA e CA sono la stessa entità. Un modo semplice per vederlo è con i certificati SSL / TLS comuni. Godaddy, Comodo e altri offriranno un certificato EV SSL (Extended Validation SSL). La società che offre il certificato, convalida le informazioni dell'utente finale e in effetti rilascia un certificato.

Per creare una catena di fiducia completa , RA e CA dovrebbero essere entità separate. In un sistema come PKI dell'ICAO per gli ePassports, questo sistema è molto più evidente. Esiste un certificato di firma del documento (DSC), un certificato di firma del paese (CSC) e certificati secondari per ogni ufficio di emissione nel paese (certificati di sicurezza dell'emittente o ISC). Non è molto evidente quando si ispezionano i certificati grezzi nel PKI dell'ICAO, ma alcuni paesi sembrano seguire questo modello completo.

Il vantaggio immediato di questo modello "completo" è che un elenco di revoche può essere indirizzato a specifici certificati dell'ufficio di emissione, piuttosto che a uno per il Paese.

Puoi leggere di più sulla struttura PKI che ICAO utilizza di seguito:

link

link

    
risposta data 26.04.2017 - 06:12
fonte
1

L'AR gestisce l'interazione con l'entità finale (ovvero oggetto di un certificato). Ciò include In uno scenario fisico che verifica gli ID o rivede i documenti. Presentano una dichiarazione di convalida alla CA che esegue l'emissione.

Questa distinzione deriva da vari vecchi modelli di riferimento PKI ma non è molto visibile agli utenti per il normale caso d'uso CERT SSL di classe 1 automatizzato. È più comune che il passaporto elettronico o le carte di identificazione personale in un'azienda abbiano questa separazione.

Alcuni motivi sono riportati qui: link

Sostituire CA con CA / RA nel materiale del corso e comprendere RA come una separazione organizzativa con un impatto quasi non tecnico. È la parte di un CA che parla agli utenti, in particolare per l'iscrizione.

    
risposta data 26.04.2017 - 05:32
fonte

Leggi altre domande sui tag