Qu'est-ce qu'une CA subordonnée?
Dans l'infrastructure à clé publique Internet (Internet PKI), la confiance du public réside en fin de compte dans les certificats d'AC racine protégés par les autorités de certification telles que SSL.com. Ces certificats sont intégrés dans les navigateurs Web, les systèmes d'exploitation et les appareils des utilisateurs finaux et permettent aux utilisateurs de faire confiance à l'identité des serveurs Internet et d'établir des communications cryptées avec eux (pour plus d'informations, voir l'article de SSL.com sur Navigateurs et validation de certificats).
Parce qu'elles sont la principale technologie permettant une communication fiable et sécurisée sur Internet et qu'elles sont difficiles et coûteuses à établir et à maintenir, les clés privées des certificats racine de confiance publique sont extrêmement précieuses et doivent être protégées à tout prix. Par conséquent, il est plus logique que les autorités de certification délivrent des certificats d'entité finale aux clients à partir de certificats subordonnés (parfois aussi appelé certificats intermédiaires). Ceux-ci sont signés par le certificat racine, qui est conservé en toute sécurité hors ligne, et sont utilisés pour signer des certificats d'entité finale, tels que SSL /TLS certificats pour les serveurs Web. Cela crée un chaîne de confiance le retour à l'autorité de certification racine, et la compromission d'un certificat subordonné, aussi mauvais soit-il, n'entraîne pas la nécessité désastreuse de révoquer chaque certificat jamais émis par l'autorité de certification racine. Codifiant cette réponse de bon sens à la situation, le CA / Browser Forum Exigences de base interdire la délivrance de certificats d'entité finale directement à partir des autorités de certification racines et exiger essentiellement qu'ils soient tenus hors ligne, ce qui rend obligatoire l'utilisation d'autorités de certification subordonnées (également appelées émission d'AC) dans Internet PKI.
En plus de garantir la sécurité de l'autorité de certification racine, les autorités de certification subordonnées exécutent des fonctions administratives au sein des organisations. Par exemple, une autorité de certification subordonnée peut être utilisée pour signer des certificats SSL et une autre pour la signature de code. Dans le cas de l'Internet public PKI, certaines de ces séparations administratives sont imposées par le forum CA / Browser. Dans d'autres cas, que nous souhaitons examiner de plus près ici, une autorité de certification racine peut émettre une autorité de certification subordonnée et la déléguer à une organisation distincte, conférant à cette entité la possibilité de signer des certificats de confiance publique.
Pourquoi vous pourriez en avoir besoin
La réponse courte est qu'une autorité de certification subordonnée hébergée vous offre le plus grand contrôle possible sur l'émission de certificats d'entité finale de confiance publique, à une fraction du coût potentiel de l'établissement de votre propre autorité de certification racine et / ou privée. PKI Infrastructure.
Alors qu'une PKI la chaîne de confiance peut contenir plus de trois certificats et peut être organisée en hiérarchies complexes, le principe général des certificats racine, intermédiaire et d'entité finale reste cohérent: les entités contrôlant les autorités de certification subordonnées signées par les autorités de certification racines de confiance peuvent émettre des certificats qui sont implicitement approuvés par les systèmes d'exploitation et les navigateurs Web des utilisateurs finaux. Sans une autorité de certification subordonnée qui fait partie d'une chaîne de confiance avec une autorité de certification racine, une organisation ne peut émettre que auto-signé certificats qui doivent être installés manuellement par les utilisateurs finaux, qui doivent également prendre leurs propres décisions quant à l'approbation du certificat ou non, ou à la création d'un PKI infrastructure (voir ci-dessous). Éviter cet obstacle à l'utilisation et la barre potentielle de confiance, tout en conservant la capacité d'émettre des certificats personnalisés à volonté en fonction des objectifs commerciaux de votre organisation, est l'une des principales raisons pour lesquelles vous pouvez souhaiter que votre propre autorité de certification subordonnée fasse partie de votre organisation. PKI Plan.
Il existe un certain nombre d'autres raisons impérieuses pour lesquelles une organisation peut souhaiter acquérir sa propre autorité de certification subordonnée. En voici quelques-uns:
- Certificats de marque. Les entreprises telles que les sociétés d'hébergement Web peuvent souhaiter proposer des services SSL /TLS certificats à leurs clients. Avec une autorité de certification subordonnée signée par une autorité de certification racine publique, ces sociétés peuvent émettre des certificats de confiance publique en leur propre nom, à volonté, sans avoir à établir leur propre autorité de certification racine dans les magasins racine du navigateur et du système d'exploitation ou à investir massivement dans PKI Infrastructure.
- Authentification client. Le contrôle d'une autorité de certification subordonnée confère la possibilité de signer des certificats qui peuvent être utilisés pour authentifier les appareils des utilisateurs finaux et réguler l'accès aux systèmes. Un fabricant de thermostats numériques ou de décodeurs peut souhaiter émettre un certificat pour chaque appareil, garantissant que seuls ses appareils peuvent communiquer avec ses serveurs. Avec sa propre autorité de certification subordonnée, l'entreprise a un contrôle total sur l'émission et la mise à jour des certificats selon les besoins sur les appareils pour lesquels elle fabrique, vend et / ou fournit des services. Des besoins commerciaux spécifiques peuvent nécessiter ou bénéficier de l'utilisation de confiance publique plutôt que privée PKI dans ce rôle. Par exemple, un appareil IoT peut inclure un serveur Web intégré pour lequel le fabricant souhaite émettre un SSL /TLS certificat.
- Personnalisation. Avec sa propre autorité de certification subordonnée et en gardant à l'esprit que les certificats accessibles au public sont soumis aux exigences de base de CA / Browser Forum, une organisation est libre de personnaliser et de configurer ses certificats et leur cycle de vie pour répondre à ses besoins particuliers.
Privé vs public PKI
Lors de la formation d'un PKI plan, les entreprises doivent faire des choix entre le privé et le public PKI. Aux fins du présent article, il est très important de noter que si une organisation souhaite émettre des certificats destinés au public et s'attendre à ce qu'ils soient implicitement approuvés, l'organisation must avoir une autorité de certification subordonnée signée par une autorité de certification racine de confiance publique, ou réussir à obtenir leur propre certificat auto-signé approuvé par les différents programmes racine. Sans chaîne de confiance avec une autorité de certification racine, les utilisateurs finaux sont obligés de déterminer eux-mêmes leur confiance plutôt que de se fier simplement à leur système d'exploitation et aux magasins racine de leur navigateur. D'un autre côté, si la confiance du public est ne sauraient nécessaire, un privé PKI l'infrastructure libère une organisation de la nécessité d'adhérer aux normes régissant la PKI. Dans ce cas, il est possible, pour citer une solution populaire, d'utiliser Services de certificats Microsoft Active Directory pour maison PKI. Voir Article de SSL.com sur ce sujet pour une explication plus détaillée de public vs privé PKI.
En interne vs SaaS
Pour évaluer les avantages du privé par rapport au public PKI, il est également important pour une organisation de prendre en compte le coût potentiel du personnel et du matériel, et de se rendre compte qu'elle sera responsable de la sécurité de ses propres clés racine et subordonnées privées. Si la confiance du public est requise, l'effort nécessaire pour établir et maintenir la conformité avec les programmes racine du système d'exploitation et du navigateur est considérable au point d'être insurmontable pour de nombreuses organisations. Hébergé PKI pour les deux publics et les autorités de certification privées sont désormais disponibles auprès de plusieurs autorités de certification racine (y compris SSL.com) et peut aider les entreprises à éviter une grande partie des dépenses et des efforts de l’interne PKI. Une autorité de certification subordonnée hébergée permet généralement aux organisations d'émettre et de gérer le cycle de vie des certificats d'entité finale via une interface Web et / ou une API offerte par l'hôte. Hébergé PKI, de confiance publique ou non, donne également aux organisations la tranquillité d'esprit de savoir que leur hôte PKI les installations et les processus font l'objet d'audits réguliers, approfondis et coûteux, et qu'ils seront activement maintenus et mis à jour à mesure que les normes et les meilleures pratiques évoluent.
Conclusion
Si votre organisation a besoin de la capacité d'émettre des certificats approuvés publiquement, une autorité de certification subordonnée hébergée est une solution économique et pratique. Si vous pensez qu'une autorité de certification subordonnée pourrait être une bonne option pour vous, n'hésitez pas à nous contacter au support@ssl.com pour plus d'information.
Et, comme toujours, merci de votre intérêt pour SSL.com, où nous pensons qu'un Internet plus sûr est un meilleur Internet.
