Privat gegen Öffentlich PKI: Erstellen eines effektiven Plans

Infrastruktur öffentlicher Schlüssel

Wenn Leute sich beziehen Öffentlichkeit or privat PKI [01]beziehen sie sich tatsächlich auf öffentlich vertrauenswürdig und privat vertrauenswürdig Infrastrukturen. Bitte beachten Sie, dass öffentliche und private Schlüssel nicht mit öffentlichen und privaten Schlüsseln zusammenhängen PKI.

Darüber hinaus beziehen sich beide Fälle auf gehostet PKI or PKI-als-a-Service (PKIaaS) Lösungen. Intern (oder lokal gehostet) PKI kann als privat arbeiten PKIDie Implementierung der Tools und Services, die Sie von einem Host erhalten würden, erfordert jedoch einen erheblichen Aufwand und Ressourcen PKI or PKIaaS-Anbieter.

Grundsätzlich a PKI hat zwei Funktionen:

  1. eine Sammlung von öffentlichen zu verwalten[02] und private Schlüssel und
  2. jeden Schlüssel mit der Identität einer einzelnen Entität wie einer Person oder Organisation zu binden.

Die Bindung wird durch die Ausstellung elektronischer Ausweisdokumente hergestellt digitale Zertifikate [03]. Zertifikate werden kryptografisch mit einem privaten Schlüssel signiert, sodass Client-Software (z. B. Browser) den entsprechenden öffentlichen Schlüssel zum Überprüfen eines Zertifikats verwenden kann Authentizität (dh es wurde mit dem richtigen privaten Schlüssel signiert) und Integrität (dh es wurde in keiner Weise geändert).

Öffentlich vertrauenswürdig und privat vertrauenswürdig PKI

Während beide PKI Konfigurationen bieten die gleiche Funktion, ihre Unterscheidung ist recht einfach.

Öffentliche PKIs werden von der Client-Software automatisch als vertrauenswürdig eingestuft PKIs muss vom Benutzer manuell als vertrauenswürdig eingestuft werden (oder in Unternehmens- und IoT-Umgebungen vom Domänenadministrator auf allen Geräten bereitgestellt werden), bevor von diesem ausgestellte Zertifikate ausgestellt werden PKI kann validiert werden.

Eine Organisation, die eine öffentlich vertrauenswürdige Organisation unterhält PKI heißt a Zertifizierungsstelle (CA). Um öffentlich vertrauenswürdig zu werden, muss eine Zertifizierungsstelle anhand von Standards wie den Basisanforderungen des CA / B-Forums geprüft werden [04] und in öffentliche Truststores wie das Microsoft Trusted Root Store Program aufgenommen werden.

Obwohl privat PKI Implementierungen können genauso sicher sein wie ihre öffentlichen Kollegen. Sie werden standardmäßig nicht als vertrauenswürdig eingestuft, da sie diese Anforderungen nachweislich nicht erfüllen und in Vertrauensprogramme aufgenommen werden.

Warum wählen Sie eine öffentlich vertrauenswürdige PKI?

Öffentlich vertrauenswürdig zu sein bedeutet öffentlich vertrauenswürdig zu sein Stammzertifikate (Verknüpfen der Identität einer Zertifizierungsstelle mit ihren offiziellen öffentlichen Schlüsseln) sind in den meisten Clients bereits verteilt. Browser, Betriebssysteme und andere Client-Software werden mit einer integrierten Liste solcher vertrauenswürdigen öffentlichen Schlüssel geliefert, mit denen die Zertifikate überprüft werden, auf die sie stoßen. (Von verantwortlichen Anbietern kann auch erwartet werden, dass sie diese Listen aktualisieren, wenn sie ihre Software aktualisieren.) Im Gegensatz dazu privat vertrauenswürdige Stammzertifikate (für ein privates Unternehmen erforderlich) PKI) muss manuell in einem Client installiert werden, bevor Zertifikate von solchen privaten PKIs kann validiert werden.

Wenn Sie versuchen, eine öffentlich zugängliche Website oder eine andere Online-Ressource zu schützen, wird daher ein Zertifikat von einer öffentlich vertrauenswürdigen Person ausgestellt PKI (dh eine Zertifizierungsstelle) ist der richtige Weg, da jeder Besucher manuell eine private installieren muss PKIDas Stammzertifikat in ihrem Browser ist nicht praktikabel (und die konsistenten Sicherheitswarnungen, die sich wahrscheinlich ergeben, wirken sich negativ auf die Reputation Ihrer Website aus).

Warum wählen Sie eine privat vertrauenswürdige PKI?

Öffentliche PKIs müssen sich strikt an Vorschriften halten und regelmäßigen Audits unterzogen werden, während sie privat vertrauenswürdig sind PKI kann auf Prüfungsanforderungen verzichten und von den Standards abweichen, wie es der Betreiber für richtig hält. Dies kann zwar bedeuten, dass sie die Best Practices nicht so genau befolgen, ermöglicht es Kunden jedoch auch, eine private Methode zu verwenden PKI mehr Freiheit in Bezug auf ihre Zertifikatsrichtlinien und -vorgänge.

Ein Beispiel: Die Basisanforderungen verbieten öffentlich vertrauenswürdigen Zertifizierungsstellen, Zertifikate für interne Domänen auszustellen (z example.local). Ein privater PKI Auf Wunsch können bei Bedarf Zertifikate für jede Domain ausgestellt werden, einschließlich solcher lokaler Domains.

Öffentlich vertrauenswürdige Zertifikate müssen außerdem immer spezifische Informationen in einer Weise enthalten, die durch ihre Kontrollvorschriften streng definiert und in einem Zertifikatsprofil formatiert ist, das dem akzeptierten X.509-Standard für öffentliche Zertifikate entspricht. Einige Kunden benötigen jedoch möglicherweise ein benutzerdefiniertes Zertifikatprofil, das speziell auf die voraussichtlichen Verwendungs- und Sicherheitsbedenken ihres Unternehmens zugeschnitten ist. Ein privater PKI kann Zertifikate mithilfe eines speziellen Zertifikatprofils ausstellen.

Abgesehen vom Zertifikat selbst, privat PKI ermöglicht auch die vollständige Kontrolle der Überprüfungsverfahren für Identität und Anmeldeinformationen. Kundeneigene Zugriffskontrollsysteme (wie Single Sign-Ons oder LDAP-Verzeichnisse) können in die privaten Systeme integriert werden PKI Service zur einfachen Bereitstellung von Zertifikaten für Parteien, denen der Betreiber bereits vertraut. Im Gegensatz dazu ein öffentlich vertrauenswürdiger PKI muss strenge manuelle und automatisierte Überprüfungen und Validierungen anhand qualifizierter Datenbanken durchführen, bevor ein Zertifikat ausgestellt wird.

Zertifikatstransparenz

Wir sollten auch beachten, dass ein privater PKI ist nicht erforderlich, um daran teilzunehmen Zertifikatstransparenz [05].

Browser wie Chrome erzwingen jetzt [06] CT für alle öffentlich vertrauenswürdigen Zertifikate, bei der Zertifizierungsstellen alle Zertifikate veröffentlichen müssen, die in einer öffentlich zugänglichen Datenbank ausgestellt wurden. Privat PKI Die Betreiber sind jedoch nicht verpflichtet, CT zu implementieren, und können daher eine bessere Privatsphäre für sensible Anwendungen bieten oder wenn die öffentliche Offenlegung der internen Netzwerkstruktur als schädlich angesehen wird [07].

Zusammenfassung

Einen auswählen PKI Lösung über die andere ist keine triviale Entscheidung. Sowohl öffentlich als auch privat PKI bieten Vor- und Nachteile, und Ihre eigene Wahl kann von vielen Faktoren abhängen, einschließlich der Notwendigkeit des öffentlichen Zugangs, der Benutzerfreundlichkeit sowie der Sicherheits- und Richtlinienanforderungen für die Kontrolle Ihrer Infrastruktur.

Hier, um SSL.comWir helfen Ihnen gerne beim Aufbau eines effektiven PKI Plan, der den individuellen Anforderungen Ihres Unternehmens entspricht.

Bibliographie

  1. Infrastruktur öffentlicher Schlüssel
  2. Kryptographie mit öffentlichen Schlüsseln
  3. Digitale Zertifikate
  4. Grundlegende Anforderungen des CA / B-Forums
  5. Zertifikatstransparenz
  6. Chrome erzwingt CT
  7. Dunkle Seite der CT

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.