Τι είναι μια δευτερεύουσα ΑΠ;
Στην υποδομή δημόσιου κλειδιού Διαδικτύου (Διαδίκτυο PKI), η εμπιστοσύνη του κοινού βρίσκεται τελικά στα ριζικά πιστοποιητικά CA που προστατεύονται από αρχές πιστοποίησης όπως SSL.com. Αυτά τα πιστοποιητικά είναι ενσωματωμένα σε προγράμματα περιήγησης ιστού, λειτουργικά συστήματα και συσκευές τελικών χρηστών και επιτρέπουν στους χρήστες να εμπιστεύονται τις ταυτότητες των διακομιστών Διαδικτύου και να δημιουργούν κρυπτογραφημένες επικοινωνίες μαζί τους (για πιο λεπτομερείς πληροφορίες, ανατρέξτε στο άρθρο του SSL.com Πρόγραμμα περιήγησης και επικύρωση πιστοποιητικού).
Επειδή είναι η κύρια τεχνολογία που επιτρέπει την αξιόπιστη και ασφαλή επικοινωνία στο Διαδίκτυο και είναι δύσκολο και δαπανηρό να δημιουργηθεί και να συντηρηθεί, τα ιδιωτικά κλειδιά των δημοσίων αξιόπιστων πιστοποιητικών ρίζας είναι εξαιρετικά πολύτιμα και πρέπει να προστατεύονται με κάθε κόστος. Επομένως, είναι πιο λογικό για τις ΑΠ να εκδίδουν πιστοποιητικά τελικής οντότητας σε πελάτες από δευτερεύοντα πιστοποιητικά (μερικές φορές αναφέρεται επίσης ως ενδιάμεσα πιστοποιητικά). Αυτά υπογράφονται από το πιστοποιητικό ρίζας, το οποίο διατηρείται με ασφάλεια εκτός σύνδεσης και χρησιμοποιούνται για την υπογραφή πιστοποιητικών τελικής οντότητας, όπως SSL /TLS πιστοποιητικά για διακομιστές ιστού. Αυτό δημιουργεί ένα αλυσίδα εμπιστοσύνης που οδηγεί πίσω στο root CA και ο συμβιβασμός ενός δευτερεύοντος πιστοποιητικού, όσο κακό και αν είναι, δεν έχει ως αποτέλεσμα την καταστροφική ανάγκη ανάκλησης κάθε πιστοποιητικού που έχει εκδοθεί ποτέ από το root CA. Κωδικοποιώντας αυτήν την κοινή λογική απάντηση στην κατάσταση, το CA / Browser Forum Απαιτήσεις βασικής γραμμής απαγορεύουν την έκδοση πιστοποιητικών τελικής οντότητας απευθείας από CA root και ουσιαστικά απαιτούν τη διατήρησή τους εκτός σύνδεσης, επιβάλλοντας τη χρήση δευτερευουσών CA (γνωστών και ως εκδίδοντας ΑΠ) στο διαδίκτυο PKI.
Εκτός από τη διατήρηση της ρίζας CA ασφαλή, οι δευτερεύουσες ΑΠ εκτελούν διοικητικές λειτουργίες εντός οργανισμών. Για παράδειγμα, μία δευτερεύουσα ΑΠ μπορεί να χρησιμοποιηθεί για την υπογραφή πιστοποιητικών SSL και μια άλλη για υπογραφή κώδικα. Στην περίπτωση του δημόσιου Διαδικτύου PKI, ορισμένοι από αυτούς τους διαχωριστικούς διαχειριστές επιβάλλονται από το φόρουμ CA / Browser. Σε άλλες περιπτώσεις, τις οποίες θέλουμε να εξετάσουμε πιο προσεκτικά εδώ, μια ρίζα CA μπορεί να εκδώσει μια δευτερεύουσα ΑΠ και να την εκχωρήσει σε έναν ξεχωριστό οργανισμό, παρέχοντας τη δυνατότητα υπογραφής δημόσιας αξιοπιστίας πιστοποιητικών σε αυτήν την οντότητα.
Γιατί μπορεί να χρειαστείτε ένα
Η σύντομη απάντηση είναι ότι μια φιλοξενούμενη δευτερεύουσα ΑΠ σας προσφέρει τον μεγαλύτερο δυνατό έλεγχο επί της έκδοσης πιστοποιητικών τελικής οντότητας που είναι δημόσια αξιόπιστες, σε ένα κλάσμα του δυνητικού κόστους δημιουργίας της δικής σας αρχικής CA ή / και ιδιωτικής PKI υποδομή.
Ενώ α PKI Η αλυσίδα εμπιστοσύνης μπορεί να περιέχει περισσότερα από τρία πιστοποιητικά και μπορεί να διατεθεί σε σύνθετες ιεραρχίες, η συνολική αρχή των πιστοποιητικών ρίζας, ενδιάμεσης και τελικής οντότητας παραμένει συνεπής: οι οντότητες που ελέγχουν δευτερεύουσες ΑΠ που έχουν υπογραφεί από αξιόπιστες ρίζες CA μπορούν να εκδίδουν πιστοποιητικά που είναι έμμεσα αξιόπιστα από λειτουργικά συστήματα τελικών χρηστών και προγράμματα περιήγησης ιστού. Χωρίς μια δευτερεύουσα ΑΠ που υπάρχει ως μέρος μιας αλυσίδας εμπιστοσύνης σε μια ρίζα CA, ένας οργανισμός μπορεί να εκδώσει μόνο αυτο-υπογεγραμμένο πιστοποιητικά που πρέπει να εγκατασταθούν με μη αυτόματο τρόπο από τους τελικούς χρήστες, οι οποίοι πρέπει επίσης να λάβουν τις δικές τους αποφάσεις σχετικά με το εάν θα εμπιστευτούν το πιστοποιητικό ή όχι, ή να δημιουργήσουν ένα ιδιωτικό PKI υποδομή (βλέπε παρακάτω). Η αποφυγή αυτού του εμποδίου χρηστικότητας και η πιθανή γραμμή εμπιστοσύνης, διατηρώντας παράλληλα τη δυνατότητα έκδοσης προσαρμοσμένων πιστοποιητικών κατά βούληση σύμφωνα με τους επιχειρηματικούς στόχους του οργανισμού σας, είναι ένας από τους πρωταρχικούς λόγους για τους οποίους μπορεί να θέλετε η δική σας δευτερεύουσα ΑΠ ως μέρος του οργανισμού σας PKI Σχέδιο.
Υπάρχουν αρκετοί άλλοι επιτακτικοί λόγοι για τους οποίους ένας οργανισμός μπορεί να επιθυμεί να αποκτήσει τη δική του δευτερεύουσα ΑΠ. Μερικά από αυτά είναι:
- Πιστοποιητικά επωνυμίας. Επιχειρήσεις όπως οι εταιρείες φιλοξενίας ιστοσελίδων μπορεί να επιθυμούν να προσφέρουν επώνυμο δημόσιο SSL /TLS πιστοποιητικά στους πελάτες τους. Με μια δευτερεύουσα ΑΠ υπογεγραμμένη από μια δημόσια ρίζα CA, αυτές οι εταιρείες μπορούν να εκδίδουν δημόσια αξιόπιστα πιστοποιητικά με το όνομά τους, κατά βούληση, χωρίς να χρειάζεται να δημιουργήσουν τη δική τους ρίζα CA σε προγράμματα αποθήκευσης ρίζας προγράμματος περιήγησης και λειτουργικού συστήματος ή να επενδύσουν σε μεγάλο βαθμό σε PKI υποδομή.
- Έλεγχος ταυτότητας πελάτη. Ο έλεγχος ενός δευτερεύοντος CA παρέχει τη δυνατότητα υπογραφής πιστοποιητικών που μπορούν να χρησιμοποιηθούν για τον έλεγχο ταυτότητας συσκευών τελικών χρηστών και τη ρύθμιση της πρόσβασης σε συστήματα. Ένας κατασκευαστής ψηφιακών θερμοστατών ή αποκωδικοποιητών ενδέχεται να επιθυμεί να εκδώσει ένα πιστοποιητικό για κάθε συσκευή, διασφαλίζοντας ότι μόνο οι συσκευές της μπορούν να επικοινωνούν με τους διακομιστές της. Με τη δική της δευτερεύουσα ΑΠ, η επιχείρηση έχει τον πλήρη έλεγχο της έκδοσης και της ενημέρωσης των πιστοποιητικών, όπως απαιτείται στις συσκευές που κατασκευάζουν, πωλούν ή / και παρέχουν υπηρεσίες. Οι συγκεκριμένες επιχειρηματικές ανάγκες ενδέχεται να απαιτούν ή να επωφελούνται από τη χρήση αξιόπιστων από το κοινό και όχι ιδιωτικών PKI σε αυτόν τον ρόλο. Για παράδειγμα, μια συσκευή IoT μπορεί να περιλαμβάνει έναν ενσωματωμένο διακομιστή ιστού για τον οποίο ο κατασκευαστής επιθυμεί να εκδώσει ένα μοναδικά αναγνωρίσιμο, δημόσια αξιόπιστο SSL /TLS πιστοποιητικό.
- Προσαρμογή. Με τη δική του δευτερεύουσα ΑΠ, και έχοντας υπόψη ότι τα δημόσια πιστοποιητικά υπόκεινται στις Απαιτήσεις βασικής αρχής του CA / Browser Forum, ένας οργανισμός είναι ελεύθερος να προσαρμόσει και να διαμορφώσει τα πιστοποιητικά του και τον κύκλο ζωής του για να καλύψει τις ιδιαίτερες ανάγκες του.
Ιδιωτικό έναντι δημόσιου PKI
Κατά τη διαμόρφωση PKI σχέδιο, οι επιχειρήσεις πρέπει να κάνουν επιλογές μεταξύ ιδιωτικών και δημόσιων PKI. Για τους σκοπούς αυτού του άρθρου, είναι πιο σημαντικό να σημειωθεί ότι εάν ένας οργανισμός επιθυμεί να εκδώσει πιστοποιητικά που βλέπουν το κοινό και να αναμένει ότι θα εμπιστευθούν σιωπηρά, πρέπει να έχετε υπογεγραμμένη ΑΠ υπογεγραμμένη από μια δημόσια αξιόπιστη ρίζα ΑΠ ή να καταφέρετε να αποκτήσετε αξιόπιστο δικό τους πιστοποιητικό από τα διάφορα προγράμματα ρίζας. Χωρίς αλυσίδα εμπιστοσύνης σε μια ρίζα CA, οι τελικοί χρήστες αναγκάζονται να κάνουν τον δικό τους προσδιορισμό εμπιστοσύνης και όχι απλώς να βασίζονται στο λειτουργικό τους σύστημα και στα καταστήματα root του προγράμματος περιήγησης. Από την άλλη πλευρά, εάν η εμπιστοσύνη του κοινού είναι δεν χρειάζεται, ένα ιδιωτικό PKI η υποδομή ελευθερώνει έναν οργανισμό από την ανάγκη τήρησης προτύπων που ρυθμίζουν το κοινό PKI. Σε αυτήν την περίπτωση, είναι δυνατόν, να αναφερθεί μια δημοφιλής λύση, να χρησιμοποιηθεί Υπηρεσίες πιστοποιητικών Active Directory της Microsoft για το σπίτι PKI. Βλέπω Το άρθρο του SSL.com σχετικά με αυτό το θέμα για μια πιο λεπτομερή εξήγηση δημόσιου και ιδιωτικού PKI.
Εσωτερικό εναντίον SaaS
Κατά τη στάθμιση των πλεονεκτημάτων του ιδιωτικού έναντι του κοινού PKI, είναι επίσης σημαντικό για έναν οργανισμό να εξετάσει το πιθανό κόστος του προσωπικού και του υλικού και να συνειδητοποιήσει ότι θα είναι υπεύθυνοι για την ασφάλεια των δικών τους ιδιωτικών ριζών και δευτερευόντων κλειδιών. Εάν απαιτείται δημόσια εμπιστοσύνη, η προσπάθεια που απαιτείται για τη δημιουργία και τη διατήρηση της συμμόρφωσης με τα προγράμματα ρίζας του λειτουργικού συστήματος και του προγράμματος περιήγησης είναι σημαντική έως το σημείο να είναι ανυπέρβλητη για πολλούς οργανισμούς. Φιλοξενείται PKI και για το κοινό και Τα ιδιωτικά CA είναι τώρα διαθέσιμα από πολλές αρχές έκδοσης πιστοποιητικών ρίζας (συμπεριλαμβανομένων των SSL.com) και μπορεί να βοηθήσει τους πελάτες της επιχείρησης να αποφύγουν μεγάλο μέρος της δαπάνης και της προσπάθειας του εσωτερικού PKI. Μια φιλοξενούμενη δευτερεύουσα ΑΠ επιτρέπει συνήθως στους οργανισμούς να εκδίδουν και να διαχειρίζονται τον κύκλο ζωής των πιστοποιητικών τελικής οντότητας μέσω μιας διεπαφής που βασίζεται στον ιστό ή / και του API που προσφέρεται από τον κεντρικό υπολογιστή. Φιλοξενείται PKI, δημόσια αξιόπιστη ή όχι, δίνει επίσης στους οργανισμούς την ηρεμία του να γνωρίζουν ότι είναι του οικοδεσπότη τους PKI οι εγκαταστάσεις και οι διαδικασίες υποβάλλονται σε τακτικούς, διεξοδικούς και ακριβούς ελέγχους, και ότι θα διατηρηθούν ενεργά και θα ενημερωθούν καθώς εξελίσσονται πρότυπα και βέλτιστες πρακτικές.
Συμπέρασμα
Εάν ο οργανισμός σας χρειάζεται τη δυνατότητα να εκδίδει δημόσια αξιόπιστα πιστοποιητικά, μια φιλοξενούμενη δευτερεύουσα ΑΠ είναι μια οικονομική και βολική λύση. Εάν πιστεύετε ότι μια δευτερεύουσα ΑΠ θα μπορούσε να είναι μια καλή επιλογή για εσάς, μην διστάσετε να επικοινωνήσετε μαζί μας στο support@ssl.com Για περισσότερες πληροφορίες.
Και, όπως πάντα, ευχαριστώ για το ενδιαφέρον σας SSL.com, όπου πιστεύουμε ότι ένα ασφαλέστερο Διαδίκτυο είναι ένα καλύτερο Διαδίκτυο.