Инфраструктурата на публичните ключове
Когато хората се позовават обществен or частен PKI [01], всъщност се отнасят до тях обществено доверие намлява частно доверие инфраструктури. Моля, имайте предвид, че публичните и частните ключове не са свързани с публични и частни PKI.
Нещо повече, и двата случая се отнасят до хоствани PKI or PKI-as-a-service (PKIaaS) решения. Вътрешен (или локално хостван) PKI може да работи като частен PKI, но са необходими значителни усилия и ресурси, за да внедрите инструментите и услугите, които бихте получили от домакин PKI or PKIaaS доставчик.
По същество а PKI има две функции:
- за управление на колекция от публични[02] и частни ключове, и
- за обвързване на всеки ключ с идентичността на отделно образувание като човек или организация.
Обвързването се установява чрез издаване на електронни документи за самоличност, наречени цифрови сертификати [03]. Сертификатите са криптографски подписани с частен ключ, така че клиентският софтуер (като браузъри) да може да използва съответния публичен ключ за проверка на сертификата автентичност (т.е. той е подписан от правилния частен ключ) и почтеност (т.е. не е модифициран по никакъв начин).
Публично доверие и Частно доверие PKI
Докато и двете PKI конфигурациите осигуряват същата функция, разграничаването им е доста ясно.
Обществен PKIs автоматично се доверяват на клиентския софтуер, докато са частни PKIs трябва да бъде доверен ръчно от потребителя (или в корпоративна и IoT среда, разгърнат на всички устройства от администратора на домейна) преди сертификати, издадени от това PKI може да бъде валидиран.
Организация, която поддържа обществено доверие PKI се нарича a Certificate Authority (CA). За да стане обществено доверие, CA трябва да бъде одитиран по стандарти като базовите изисквания на CA / B Forum [04] и да бъдете приети в обществени доверителни магазини като Microsoft Trusted Root Store Program.
Макар и частна PKI реализациите могат да бъдат също толкова сигурни, колкото и техните публични колеги, по подразбиране не им се вярва, тъй като не са в съответствие с тези изисквания и са приети в доверителни програми.
Защо да изберем обществено доверие PKI?
Да бъдеш обществено доверие означава, че да имаш обществено доверие корен сертификати (свързвайки самоличността на СА с техните официални публични ключове) вече се разпространяват в повечето клиенти. Браузърите, операционните системи и другият клиентски софтуер се доставят с вграден списък от такива надеждни публични ключове, които се използват за валидиране на сертификати, които срещат. (От отговорните доставчици също може да се очаква да актуализират тези списъци, когато актуализират софтуера си.) За разлика от тях, частните надеждни коренни сертификати (необходими за частен PKI) трябва да бъде инсталиран ръчно в клиент преди сертификати от такива частни PKIs може да бъде валидиран.
В резултат на това, ако се опитвате да защитите обществено достъпен уебсайт или друг он-лайн ресурс, сертификат, издаден от публично доверен PKI (т.е. CA) е начинът, по който трябва да се извърши, тъй като се изисква всеки посетител да инсталира ръчно частен PKIroot сертификатът в техния браузър не е практичен (и постоянните предупреждения за сигурност, които вероятно ще доведат, ще повлияят отрицателно на репутацията на вашия сайт).
Защо да изберете частно доверен PKI?
Обществен PKIs трябва стриктно да спазват разпоредбите и да се подлагат на редовни одити, докато са на частно доверие PKI може да се откаже от изискванията за одит и да се отклони от стандартите по какъвто и да е начин, който операторът счете за подходящ. Въпреки че това може да означава, че те не следват най-добре най-добрите практики, той също така позволява на клиентите да използват частни PKI повече свобода по отношение на техните правила и операции на сертификати.
Един пример: Основните изисквания забраняват на публично доверените органи за управление да издават сертификати за вътрешни домейни (напр example.local). Частен PKI може, при желание, да издава сертификати за всеки домейн според нуждите, включително такива местни домейни.
Публично доверените сертификати също трябва винаги да включват конкретна информация по начин, строго определен от техните контролни разпоредби и форматиран в профил на сертификат, съответстващ на приетия стандарт X.509 за публични сертификати. Въпреки това, някои клиенти може да изискват потребителски профил на сертификат, специално съобразен с очакваните употреби и опасения за сигурността на тяхната организация. Частен PKI може да издава сертификати, използвайки специализиран профил на сертификати.
Освен самия сертификат, частен PKI дава възможност за пълен контрол и на процедурите за проверка на самоличността и идентификационните данни. Собствените системи за контрол на достъпа на клиента (като единични влизания или LDAP директории) могат да бъдат интегрирани с частните PKI услуга за лесно предоставяне на сертификати на вече доверени от оператора страни. За разлика от тях - обществено доверие PKI трябва да извърши строги ръчни и автоматизирани проверки и валидиране на квалифицирани бази данни, преди да издаде сертификат.
Прозрачност на сертификата
Трябва също да отбележим, че частен PKI не се изисква за участие в Прозрачност на сертификата [05].
Вече се налагат браузъри като Chrome [06] CT за всички публично доверени сертификати, което изисква CA да публикуват всички сертификати, издадени в публично достъпна база данни. Частен PKI операторите обаче не са задължени да прилагат CT и в резултат могат да осигурят по-добра поверителност за чувствителни приложения или когато публичното оповестяване на вътрешната структура на мрежата би се считало за вредно [07].
Заключение
Избор на такъв PKI решение над другото не е тривиално решение. Както публични, така и частни PKI предлагат предимства и недостатъци и вашият собствен избор може да зависи от много фактори, включително нужда от обществен достъп, лесна употреба и изисквания за сигурност и политика за контрол на вашата инфраструктура.
Тук, в SSL.com, щастливи сме да ви помогнем да изградите ефективно PKI план, който отговаря на уникалните нужди на вашата организация.
