¿Qué es una CA subordinada?
En Internet infraestructura de clave pública (Internet PKI), la confianza pública reside en última instancia en los certificados de CA raíz salvaguardados por las autoridades de certificación como SSL.com. Estos certificados están integrados en los navegadores web, sistemas operativos y dispositivos de los usuarios finales, y permiten a los usuarios confiar en las identidades de los servidores de Internet y establecer comunicaciones cifradas con ellos (para obtener información más detallada, consulte el artículo de SSL.com en Navegadores y validación de certificados).
Debido a que son la tecnología principal que permite una comunicación confiable y segura en Internet y son difíciles y costosos de establecer y mantener, las claves privadas de los certificados raíz de confianza pública son extremadamente valiosas y deben protegerse a toda costa. Por lo tanto, tiene más sentido que las CA emitan certificados de entidad final a los clientes desde certificados subordinados (a veces también conocido como certificados intermedios). Estos están firmados por el certificado raíz, que se mantiene de forma segura fuera de línea, y se utilizan para firmar certificados de entidad final, como SSL /TLS certificados para servidores web. Esto crea un cadena de confianza que conduce de nuevo a la CA raíz, y el compromiso de un certificado subordinado, por malo que sea, no da como resultado la desastrosa necesidad de revocar todos los certificados emitidos por la CA raíz. Codificando esta respuesta de sentido común a la situación, el foro CA / Browser Requisitos de referencia prohíbe la emisión de certificados de entidad final directamente desde las CA raíz y esencialmente exige que se mantengan fuera de línea, lo que exige el uso de CA subordinadas (también conocido como CA emisoras) en Internet PKI.
Además de mantener segura la CA raíz, las CA subordinadas realizan funciones administrativas dentro de las organizaciones. Por ejemplo, se puede utilizar una CA subordinada para firmar certificados SSL y otra para la firma de código. En el caso de Internet pública PKI, algunas de estas separaciones administrativas son exigidas por el foro CA / Browser. En otros casos, que deseamos examinar más de cerca aquí, una CA raíz puede emitir una CA subordinada y delegarla en una organización separada, lo que confiere la capacidad de firmar certificados de confianza pública a esa entidad.
Por qué podrías necesitar uno
La respuesta corta es que una CA subordinada alojada le ofrece el mayor control posible sobre la emisión de certificados de entidad final de confianza pública, a una fracción del costo potencial de establecer su propia CA raíz y / o privada. PKI infraestructura.
Mientras que una PKI la cadena de confianza puede contener más de tres certificados, y puede organizarse en jerarquías complejas, el principio general de los certificados de entidad raíz, intermedia y final permanece constante: las entidades que controlan CA subordinadas firmadas por CA raíz confiables pueden emitir certificados que son implícitamente confiables por los sistemas operativos y navegadores web de los usuarios finales. Sin una CA subordinada que existe como parte de una cadena de confianza para una CA raíz, una organización solo puede emitir autofirmado certificados que deben instalar manualmente los usuarios finales, que también deben tomar sus propias decisiones sobre si confiar en el certificado o no, o construir un privado PKI infraestructura (ver abajo). Evitar este impedimento de usabilidad y el potencial obstáculo para confiar, al tiempo que se mantiene la capacidad de emitir certificados personalizados a voluntad de acuerdo con los objetivos comerciales de su organización, es una de las razones principales por las que es posible que desee que su propia CA subordinada sea parte de su organización. PKI . Plan de
Hay una serie de otras razones de peso por las cuales una organización puede desear adquirir su propia CA subordinada. Algunos de estos son:
- Certificados de marca. Es posible que empresas como las de alojamiento web deseen ofrecer SSL /TLS certificados a sus clientes. Con una CA subordinada firmada por una CA raíz pública, estas empresas pueden emitir certificados de confianza pública en su propio nombre, a voluntad, sin tener que establecer su propia CA raíz en los almacenes raíz del navegador y del sistema operativo o invertir mucho en PKI infraestructura.
- Autenticación del cliente. El control de una CA subordinada confiere la capacidad de firmar certificados que se pueden utilizar para autenticar los dispositivos de los usuarios finales y regular el acceso a los sistemas. Un fabricante de termostatos digitales o decodificadores podría desear emitir un certificado para cada dispositivo, asegurando que solo sus dispositivos puedan comunicarse con sus servidores. Con su propia CA subordinada, la empresa tiene control total sobre la emisión y actualización de certificados según sea necesario en los dispositivos que fabrica, vende y / o proporciona servicios. Las necesidades comerciales específicas pueden requerir o beneficiarse del uso de confianza pública en lugar de privado PKI en este papel. Por ejemplo, un dispositivo de IoT puede incluir un servidor web integrado para el que el fabricante desea emitir un SSL / de confianza públicamente identificable de forma única.TLS certificado.
- Personalización Con su propia CA subordinada, y teniendo en cuenta que los certificados públicos están sujetos a los requisitos de línea de base de CA / Browser Forum, una organización es libre de personalizar y configurar sus certificados y su ciclo de vida para satisfacer sus necesidades particulares.
Privado vs. Público PKI
Al formar un PKI plan, las empresas deben elegir entre privado y público PKI. A los fines de este artículo, es muy importante tener en cuenta que si una organización desea emitir certificados de cara al público y espera que sean de confianza implícita, la organización debe tener una CA subordinada firmada por una CA raíz de confianza pública, o administrar para obtener su propio certificado autofirmado en el que confían los diversos programas raíz. Sin una cadena de confianza con una CA raíz, los usuarios finales se ven obligados a tomar su propia determinación de confianza en lugar de simplemente confiar en su sistema operativo y en las tiendas raíz del navegador. Por otro lado, si la confianza pública es no necesario, un privado PKI la infraestructura libera a una organización de la necesidad de adherirse a las normas que regulan el público PKI. En este caso, es posible, para citar una solución popular, utilizar Servicios de certificados de Microsoft Active Directory para la casa PKI. Vea Artículo de SSL.com sobre este tema para una explicación más detallada de lo público frente a lo privado PKI.
En casa contra SaaS
Al sopesar los beneficios de lo privado frente a lo público PKI, también es importante que una organización considere el costo potencial de personal y hardware, y se dé cuenta de que será responsable de la seguridad de sus propias raíces privadas y claves subordinadas. Si se requiere la confianza pública, el esfuerzo necesario para establecer y mantener el cumplimiento del sistema operativo y los programas raíz del navegador es considerable hasta el punto de ser insuperable para muchas organizaciones. Alojado PKI tanto para público y Las CA privadas ahora están disponibles en varias autoridades de certificación raíz (incluidas SSL.com) y puede ayudar a los clientes empresariales a evitar gran parte de los gastos y el esfuerzo de la empresa PKI. Una CA subordinada alojada generalmente permite a las organizaciones emitir y administrar el ciclo de vida de los certificados de entidad final a través de una interfaz web o API ofrecida por el host. Alojado PKI, de confianza pública o no, también les da a las organizaciones la tranquilidad de saber que el PKI Las instalaciones y los procesos se someten a auditorías regulares, exhaustivas y costosas, y se mantendrán y actualizarán activamente a medida que evolucionen los estándares y las mejores prácticas.
Conclusión
Si su organización necesita la capacidad de emitir certificados de confianza pública, una CA subordinada alojada es una solución rentable y conveniente. Si cree que una CA subordinada podría ser una buena opción para usted, no dude en contactarnos en support@ssl.com para obtener más información.
Y, como siempre, gracias por su interés en SSL.com, donde creemos que una Internet más segura es una Internet mejor.
