Ho una domanda per quanto riguarda il controllo totale sulla crittografia che userete per la vostra applicazione rispetto a fare affidamento su entità esterne come le autorità di certificazione?
Quali sono i pro e i contro per ciascuna opzione?
Nel porre questa domanda, in realtà chiedi ai professionisti degli svantaggi di utilizzare un trust a catena privato o uno già disponibile sul client.
Utilizza una CA pubblica - PRO
Utilizza una CA pubblica - CONs
Utilizza una CA privata - PRO
Utilizza una CA privata - CONs
Si noti che molte di queste proprietà dipendono molto dal modo in cui si impostano le cose e si utilizza il certificato: se si utilizza il blocco dei certificati, ad esempio, si ignorano più o meno tutti questi problemi, ad eccezione dell'ancora di attendibilità distribuzione uno.
Affidarsi a un'agenzia di certificazione non ti dà alcun controllo sulla crittografia (a parte alcune agenzie di dubios che generano le chiavi per te).
Per ottenere una certificazione da un'agenzia, creare localmente le proprie chiavi, creare una richiesta di certificazione (CSR) per la chiave pubblica e inviare la chiave pubblica insieme alla CSR all'agenzia.
L'agenzia non ha accesso né influenza su crittografia (dati di crittografia e firma). Scegliere (o non scegliere) un'agenzia di certificazione potrebbe essere un dibattito su fiducia (fiducia degli altri nella tua identità, che è certificata dall'agenzia).
Un'agenzia di certificazione fornisce solo fiducia , non la crittografia.
Indipendentemente dal fatto che si utilizzi un certificato firmato da una CA o un certificato autofirmato, l'implementazione della crittografia / hashing dipende interamente da te.
La fiducia è importante. Come posso essere certo che qualsiasi cosa scarichi sul tuo sito Web provenga effettivamente da te e non da qualcun altro? Questo è ciò che fa una CA. Affermano di aver svolto una serie di indagini e hanno attestato che sei tu chi dici di essere.
Se mi fido che la CA abbia svolto una certa quantità di indagini, allora posso fidarmi che tu sia chi dici di essere.
D'altro canto, un certificato autofirmato è quasi inutile ai fini della fiducia, poiché in sostanza stai certificando la tua identità.
Leggi altre domande sui tag cryptography