Privé vs public PKI: Construire un plan efficace

Public PKI et privé PKI les solutions existent et ont chacune des applications utiles - mais lesquelles devraient être utilisées quand? Nous vous expliquons pour vous aider à décider.

Rubriques connexes

Vous voulez continuer à apprendre?

Abonnez-vous à la newsletter SSL.com, restez informé et en sécurité.

Infrastructure à clé publique

Quand les gens se réfèrent à public or Privé PKI , ils se réfèrent en fait à confiance du public et de confiance privée infrastructures. N'oubliez pas que les clés publiques et privées ne sont pas liées aux clés publiques et privées PKI.

De plus, les deux cas font référence à hébergé PKI or PKI-en tant que service (PKIaaS). Interne (ou hébergé localement) PKI peut travailler en privé PKI, mais il faut beaucoup d'efforts et de ressources pour mettre en œuvre les outils et services que vous obtiendriez d'un hébergé PKI or PKIfournisseur aaS.

Fondamentalement, un PKI a deux fonctions:

  1. gérer une collection de public et les clés privées, et
  2. pour lier chaque clé à l'identité d'une entité individuelle telle qu'une personne ou une organisation.

La liaison est établie par la délivrance de documents d'identité électroniques, appelés certificats numériques . Les certificats sont signés cryptographiquement avec une clé privée afin que le logiciel client (comme les navigateurs) puisse utiliser la clé publique correspondante pour vérifier un certificat. authenticité (c'est-à-dire qu'il a été signé par la bonne clé privée) et intégrité (c'est-à-dire qu'il n'a été modifié d'aucune façon).

Confiance publique et confiance privée PKI

Bien que les deux PKI les configurations assurent la même fonction, leur distinction est assez simple.

Public PKIsont automatiquement approuvés par le logiciel client, tandis que privés PKIs doivent être approuvés manuellement par l'utilisateur (ou, dans les environnements d'entreprise et IoT, déployés sur tous les appareils par l'administrateur de domaine) avant tout certificat émis par ce PKI peut être validé.

Une organisation qui maintient une confiance publique PKI est appelé un Autorité de certification (CALIFORNIE). Pour gagner la confiance du public, un CA doit être audité par rapport à des normes telles que les exigences de base du CA / B Forum et être accepté dans les magasins de confiance publics comme le programme Microsoft Trusted Root Store.

Bien que privé PKI Les implémentations peuvent être tout aussi sécurisées que leurs homologues publics, elles ne sont pas approuvées par défaut car elles ne sont pas conformes à ces exigences et acceptées dans les programmes de confiance.

Pourquoi choisir un site de confiance publique PKI?

La confiance du public signifie que la confiance du public certificats racine (associant l'identité d'une autorité de certification à leurs clés publiques officielles) sont déjà distribués dans la plupart des clients. Les navigateurs, les systèmes d'exploitation et les autres logiciels clients sont livrés avec une liste intégrée de ces clés publiques de confiance qui sont utilisées pour valider les certificats qu'ils rencontrent. (On peut également s'attendre à ce que les fournisseurs responsables mettent à jour ces listes lors de la mise à jour de leur logiciel.) En revanche, des certificats racine de confiance privée (nécessaires pour une PKI) doit être installé manuellement dans un client avant que les certificats de ces PKIs peut être validé.

Par conséquent, si vous essayez de protéger un site Web accessible au public ou une autre ressource en ligne, un certificat délivré par un organisme de confiance du public PKI (c.-à-d. une autorité de certification) est la voie à suivre, car chaque visiteur doit installer manuellement un PKIle certificat racine de leur navigateur n'est pas pratique (et les avertissements de sécurité cohérents susceptibles d'en résulter auront un impact négatif sur la réputation de votre site).

Pourquoi choisir un privé de confiance PKI?

Public PKIs doivent respecter strictement les réglementations et faire l'objet d'audits réguliers, tandis qu'un PKI peut renoncer aux exigences d'audit et s'écarter des normes de la manière que son opérateur juge appropriée. Bien que cela puisse signifier qu'ils ne suivent pas les meilleures pratiques de manière aussi rigoureuse, cela permet également aux clients utilisant un PKI plus de liberté concernant leurs politiques et opérations de certificats.

Un exemple: les exigences de base interdisent aux autorités de certification de confiance d’émettre des certificats pour les domaines internes (par exemple, example.local). Un privé PKI peut, si vous le souhaitez, émettre des certificats pour tout domaine selon vos besoins, y compris ces domaines locaux.

Les certificats de confiance publique doivent également toujours inclure des informations spécifiques d'une manière strictement définie par leurs réglementations de contrôle et formatées dans un profil de certificat mappant à la norme X.509 acceptée pour les certificats publics. Cependant, certains clients peuvent exiger un profil de certificat personnalisé, spécifiquement adapté aux utilisations prévues et aux problèmes de sécurité de leur organisation. Un privé PKI peut émettre des certificats à l'aide d'un profil de certificat spécialisé.

Outre le certificat lui-même, privé PKI permet également un contrôle total des procédures de vérification de l'identité et des informations d'identification. Les propres systèmes de contrôle d'accès d'un client (tels que les authentifications uniques ou les annuaires LDAP) peuvent être intégrés au PKI pour fournir facilement des certificats aux parties auxquelles l'opérateur fait déjà confiance. En revanche, un public de confiance PKI doit effectuer des vérifications manuelles et automatisées strictes et une validation par rapport aux bases de données qualifiées avant de délivrer un certificat.

Transparence du certificat

Il convient également de noter qu’une PKI n'est pas tenu de participer à Transparence du certificat .

Des navigateurs tels que Chrome appliquent désormais CT pour tous les certificats de confiance publique, qui oblige les autorités de certification à publier tous les certificats émis dans une base de données accessible au public. Privé PKI les opérateurs, cependant, ne sont pas obligés de mettre en œuvre CT, et peuvent en conséquence fournir une meilleure confidentialité pour les applications sensibles, ou lorsque la divulgation publique de la structure du réseau interne serait considérée comme nuisible .

Pour aller plus loin

En sélectionnant un PKI solution sur l'autre n'est pas une décision triviale. Public et privé PKI offrent des avantages et des inconvénients, et votre choix peut dépendre de nombreux facteurs, y compris le besoin d'accès public, la facilité d'utilisation et les exigences de sécurité et de politique pour le contrôle de votre infrastructure.

Ici à SSL.com, nous sommes heureux de vous aider à construire un PKI plan qui répond aux besoins uniques de votre organisation.

Références

  1. Infrastructure à clé publique
  2. Cryptographie à clé publique
  3. Certificats numériques
  4. Exigences de base du forum CA / B
  5. Transparence du certificat
  6. Chrome applique CT
  7. Côté obscur du CT

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.