Co je podřízený CA?
V infrastruktuře veřejných klíčů na internetu (Internet PKI), důvěra veřejnosti v konečném důsledku spočívá v kořenových certifikátech CA chráněných certifikačními úřady, například SSL.com. Tyto certifikáty jsou zabudovány do webových prohlížečů, operačních systémů a zařízení koncových uživatelů a umožňují uživatelům důvěřovat identitám internetových serverů a navazovat s nimi šifrovanou komunikaci (podrobnější informace najdete v článku SSL.com o Prohlížeče a ověření certifikátu).
Protože jsou primární technologií umožňující důvěryhodnou a bezpečnou komunikaci na internetu a je obtížné a nákladné je zřídit a udržovat, jsou soukromé klíče veřejně důvěryhodných kořenových certifikátů nesmírně cenné a musí být chráněny za každou cenu. Proto má největší smysl pro CA vydávat certifikáty koncových entit zákazníkům z podřízené certifikáty (někdy také označováno jako střední certifikáty). Jsou podepsány kořenovým certifikátem, který je bezpečně uložen offline, a slouží k podepisování certifikátů koncových entit, jako je SSL /TLS certifikáty pro webové servery. Tím se vytvoří řetěz důvěry vedoucí zpět do kořenové certifikační autority a kompromis podřízeného certifikátu, ať už je to špatný, nevede ke katastrofální potřebě zrušit každý certifikát, který kdy kořenový certifikační úřad vydal. Kodifikace této běžné reakce na situaci, CA / Browser Forum Základní požadavky zakázat vydávání certifikátů koncových entit přímo z kořenových certifikačních autorit a v zásadě požadovat, aby byly udržovány offline, což nařizuje použití podřízených certifikačních autorit (známých také jako vydávající certifikační autority) na internetu PKI.
Kromě zajištění bezpečnosti kořenové certifikační autority vykonávají podřízené certifikační autority v organizacích administrativní funkce. Například jeden podřízený CA může být použit k podepisování certifikátů SSL a druhý k podepisování kódu. V případě veřejného internetu PKI, některé z těchto administrativních oddělení jsou pověřeny fórem CA / Prohlížeč. V ostatních případech, které zde chceme blíže prozkoumat, může kořenová CA vydat podřízenou CA a delegovat ji na samostatnou organizaci, čímž této entitě udělí možnost podepsat veřejně důvěryhodné certifikáty.
Proč to musíte potřebovat
Krátká odpověď je, že hostovaný podřízený CA vám nabízí největší možnou kontrolu nad vydáváním veřejně důvěryhodných certifikátů koncových entit za zlomek potenciálních nákladů na založení vlastního kořenového CA nebo soukromého PKI infrastruktura.
Zatímco a PKI řetěz důvěry může obsahovat více než tři certifikáty a může být uspořádán do složitých hierarchií, celkový princip kořenových, prostředních a koncových certifikátů zůstává konzistentní: entity ovládající podřízené CA podepsané důvěryhodnými kořenovými CA mohou vydávat certifikáty, které jsou implicitně důvěryhodné operačními systémy a webovými prohlížeči koncových uživatelů. Bez podřízeného CA, který existuje jako součást řetězce důvěryhodnosti kořenovému CA, může organizace vydávat pouze podepsaný sám sebou certifikáty, které musí být ručně nainstalovány koncovými uživateli, kteří musí také učinit svá vlastní rozhodnutí o tom, zda důvěřovat certifikátu nebo ne, nebo vytvořit soukromý PKI infrastruktura (viz níže). Vyhýbání se této překážce použitelnosti a potenciální barvě pro důvěru při zachování schopnosti vydávat vlastní certifikáty podle přání v souladu s obchodními cíli vaší organizace, je jedním z hlavních důvodů, proč byste mohli chtít mít vlastní podřízenou certifikační autoritu jako součást vaší organizace PKI plan.
Existuje řada dalších závažných důvodů, proč si organizace může přát získat vlastní podřízenou CA. Některé z nich jsou:
- Značkové certifikáty. Podniky, jako jsou společnosti poskytující webhosting, mohou chtít nabízet značkové veřejné SSL /TLS certifikáty svým zákazníkům. S podřízenou certifikační autoritou podepsanou veřejným kořenovým certifikačním úřadem mohou tyto společnosti vydávat veřejně důvěryhodné certifikáty na své vlastní jméno, dle libosti, aniž by musely zakládat vlastní kořenovou certifikační autoritu v kořenových úložištích prohlížečů a operačních systémů nebo investovat velké prostředky do PKI infrastruktura.
- Ověření klienta. Ovládání podřízeného CA uděluje schopnost podepisovat certifikáty, které lze použít k ověření zařízení koncových uživatelů a regulaci přístupu k systémům. Výrobce digitálních termostatů nebo set-top boxů může chtít vydat certifikát pro každé zařízení a zajistit tak, aby pouze jeho zařízení mohla komunikovat se svými servery. Se svým vlastním podřízeným CA má podnik úplnou kontrolu nad vydáváním a aktualizací certifikátů podle potřeby na zařízeních, která vyrábějí, prodávají nebo poskytují služby. Specifické obchodní potřeby mohou vyžadovat nebo těžit z používání veřejně důvěryhodného, nikoli soukromého PKI v této roli. Například zařízení IoT může zahrnovat integrovaný webový server, pro který si výrobce přeje vydat jednoznačně identifikovatelný, veřejně důvěryhodný SSL /TLS osvědčení.
- Přizpůsobení. S vlastní podřízenou certifikační autoritou as ohledem na to, že certifikáty orientované na veřejnost podléhají základním požadavkům fóra CA / Browser Forum, může organizace volně přizpůsobovat a konfigurovat své certifikáty a jejich životní cyklus tak, aby vyhovovaly jeho konkrétním potřebám.
Soukromé vs. veřejné PKI
Při vytváření a PKI plán musí podniky volit mezi soukromým a veřejným PKI. Pro účely tohoto článku je nejdůležitější poznamenat, že pokud si organizace přeje vydávat certifikáty pro veřejnost a očekávat, že budou implicitně důvěryhodné, organizace musí mít podřízenou certifikační autoritu podepsanou veřejně důvěryhodným kořenovým certifikačním úřadem nebo spravovat vlastní certifikát podepsaný svým držitelem, kterému důvěřují různé kořenové programy. Bez řetězu důvěryhodnosti vůči kořenové certifikační autoritě jsou koncoví uživatelé nuceni provádět vlastní stanovení důvěry, místo aby se spoléhali pouze na svůj operační systém a kořenové úložiště prohlížeče. Na druhou stranu, pokud je důvěra veřejnosti ne potřeba, soukromý PKI infrastruktura osvobozuje organizaci od nutnosti dodržovat standardy regulující veřejnost PKI. V tomto případě je možné použít populární řešení Certifikační služba Microsoft Active Directory pro vlastní PKI. Vidět Článek SSL.com na toto téma pro podrobnější vysvětlení veřejného vs. soukromého PKI.
Vlastní vs. SaaS
Při vážení výhod soukromého vs. veřejného PKI, je také důležité, aby organizace zvážila potenciální náklady na personál a hardware a uvědomila si, že bude odpovědná za zabezpečení svých vlastních soukromých kořenových a podřízených klíčů. Je-li vyžadována důvěra veřejnosti, je úsilí nutné k vytvoření a udržení souladu s kořenovými programy operačního systému a prohlížeče značné do té míry, že je mnoho organizací nepřekonatelné. Hostováno PKI pro obě veřejnost a soukromé CA jsou nyní k dispozici od více kořenových certifikačních úřadů (včetně SSL.com) a mohou podnikovým zákazníkům pomoci vyhnout se velkým nákladům a úsilí in-house PKI. Hostitelský podřízený CA obvykle umožňuje organizacím vydávat a spravovat životní cyklus certifikátů koncových entit prostřednictvím webového rozhraní a / nebo API nabízeného hostitelem. Hostováno PKI, veřejně důvěryhodní nebo ne, také dává organizacím klid na vědomí, že jejich hostitel je PKI zařízení a procesy podléhají pravidelným, důkladným a nákladným auditům a že budou aktivně udržovány a aktualizovány podle vývoje standardů a osvědčených postupů.
Proč investovat do čističky vzduchu?
Pokud vaše organizace potřebuje možnost vydávat veřejně důvěryhodné certifikáty, je hostovaný podřízený CA nákladově efektivní a pohodlné řešení. Pokud máte pocit, že podřízený CA by pro vás mohl být dobrou volbou, neváhejte nás kontaktovat na adrese support@ssl.com Pro více informací.
A jako vždy, díky za váš zájem o SSL.com, kde věříme, že bezpečnější internet je lepší internet.
