Apa itu CA bawahan?
Dalam infrastruktur kunci publik Internet (Internet PKI), kepercayaan publik pada akhirnya berada pada akar sertifikat CA yang dijaga oleh otoritas sertifikasi seperti SSL.com. Sertifikat ini dibangun di browser web pengguna akhir, sistem operasi, dan perangkat, dan memungkinkan pengguna untuk mempercayai identitas server Internet dan menjalin komunikasi terenkripsi dengan mereka (untuk informasi lebih rinci, lihat artikel SSL.com di Peramban dan Validasi Sertifikat).
Karena mereka adalah teknologi utama yang memungkinkan komunikasi tepercaya dan aman di Internet serta sulit dan mahal untuk dibuat dan dipelihara, kunci pribadi dari sertifikat dasar yang dipercaya secara publik sangat berharga dan harus dilindungi dengan cara apa pun. Oleh karena itu, paling masuk akal bagi CA untuk menerbitkan sertifikat entitas akhir kepada pelanggan sertifikat bawahan (terkadang juga disebut sebagai sertifikat perantara). Ini ditandatangani oleh sertifikat akar, yang disimpan dengan aman secara offline, dan digunakan untuk menandatangani sertifikat entitas akhir, seperti SSL /TLS sertifikat untuk server web. Ini menciptakan a rantai kepercayaan mengarah kembali ke root CA, dan kompromi dari sertifikat bawahan, betapapun buruknya itu, tidak mengakibatkan kebutuhan bencana untuk mencabut setiap sertifikat yang pernah dikeluarkan oleh root CA. Kodifikasi respons masuk akal ini terhadap situasi, CA / Browser Forum Persyaratan Dasar melarang penerbitan sertifikat entitas akhir langsung dari CA root dan pada dasarnya mengharuskan mereka tetap offline, mengamanatkan penggunaan CA bawahan (juga dikenal sebagai mengeluarkan CA) di internet PKI.
Selain menjaga keamanan root CA, CA bawahan melakukan fungsi administratif dalam organisasi. Misalnya, satu CA bawahan dapat digunakan untuk menandatangani sertifikat SSL dan satu lagi untuk penandatanganan kode. Dalam kasus Internet publik PKI, beberapa pemisahan administratif ini diamanatkan oleh forum CA / Browser. Dalam kasus lain, yang ingin kami periksa lebih dekat di sini, CA root dapat mengeluarkan CA bawahan dan mendelegasikannya ke organisasi terpisah, yang memberikan kemampuan untuk menandatangani sertifikat yang dipercaya secara publik ke entitas itu.
Mengapa Anda Mungkin Perlu Satu
Jawaban singkatnya adalah bahwa CA bawahan yang dihosting menawarkan kepada Anda kemungkinan kontrol terbesar atas penerbitan sertifikat entitas akhir yang dipercaya secara publik, dengan biaya yang sangat kecil untuk membangun CA root Anda sendiri dan / atau privat. PKI infrastruktur.
Sementara PKI rantai kepercayaan dapat berisi lebih dari tiga sertifikat, dan dapat diatur dalam hierarki yang kompleks, prinsip keseluruhan sertifikat root, intermediate, dan end-entity tetap konsisten: entitas yang mengendalikan CA bawahan yang ditandatangani oleh root CA yang dipercaya dapat mengeluarkan sertifikat yang dipercaya secara implisit oleh sistem operasi dan browser web pengguna akhir. Tanpa CA bawahan yang ada sebagai bagian dari rantai kepercayaan ke root CA, organisasi hanya bisa mengeluarkan ditandatangani sendiri sertifikat yang harus diinstal secara manual oleh pengguna akhir, yang juga harus membuat keputusan sendiri tentang apakah akan mempercayai sertifikat atau tidak, atau membangun pribadi PKI infrastruktur (lihat di bawah). Menghindari halangan kegunaan dan potensi bar untuk dipercaya, sambil mempertahankan kemampuan untuk mengeluarkan sertifikat khusus sesuka hati sesuai dengan tujuan bisnis organisasi Anda, adalah salah satu alasan utama mengapa Anda ingin CA bawahan Anda sendiri sebagai bagian dari organisasi Anda. PKI rencana.
Ada sejumlah alasan kuat lain yang mungkin ingin dimiliki organisasi untuk memperoleh CA bawahannya sendiri. Beberapa di antaranya adalah:
- Sertifikat Bermerek. Perusahaan seperti perusahaan web hosting mungkin ingin menawarkan SSL /TLS sertifikat kepada pelanggan mereka. Dengan CA bawahan yang ditandatangani oleh CA akar publik, perusahaan ini dapat menerbitkan sertifikat yang dipercaya secara publik atas nama mereka sendiri, sesuka hati, tanpa harus membuat CA akar mereka sendiri di peramban dan penyimpanan akar sistem operasi atau berinvestasi besar-besaran di PKI infrastruktur.
- Otentikasi Klien. Mengontrol CA bawahan memberikan kemampuan untuk menandatangani sertifikat yang dapat digunakan untuk mengautentikasi perangkat pengguna akhir dan mengatur akses ke sistem. Produsen termostat digital atau dekoder mungkin ingin menerbitkan sertifikat untuk setiap perangkat, memastikan bahwa hanya perangkatnya yang dapat berkomunikasi dengan servernya. Dengan CA bawahannya sendiri, perusahaan memiliki kendali penuh atas penerbitan dan pembaruan sertifikat sesuai kebutuhan pada perangkat yang mereka produksi, jual, dan / atau berikan layanan. Kebutuhan bisnis tertentu mungkin memerlukan atau mendapatkan keuntungan dari penggunaan yang dipercaya secara publik daripada pribadi PKI dalam peran ini. Misalnya, perangkat IoT mungkin menyertakan server web internal yang produsennya ingin menerbitkan SSL / yang dapat diidentifikasi secara unik dan dipercaya secara publik.TLS sertifikat.
- Kustomisasi. Dengan CA bawahannya sendiri, dan mengingat bahwa sertifikat yang menghadap publik tunduk pada Persyaratan Dasar CA / Browser Forum, suatu organisasi bebas untuk menyesuaikan dan mengkonfigurasi sertifikat serta siklus hidupnya untuk memenuhi kebutuhan khususnya.
Pribadi vs. Publik PKI
Saat membentuk a PKI rencana, bisnis harus membuat pilihan antara pribadi dan publik PKI. Untuk keperluan artikel ini, sangat penting untuk dicatat bahwa jika suatu organisasi ingin menerbitkan sertifikat yang menghadap publik dan berharap mereka dipercaya secara implisit, organisasi tersebut harus memiliki CA bawahan yang ditandatangani oleh root CA yang dipercaya secara publik, atau mengelola untuk mendapatkan sertifikat yang ditandatangani sendiri yang dipercaya oleh berbagai program root. Tanpa rantai kepercayaan ke root CA, pengguna akhir dipaksa untuk membuat keputusan kepercayaan mereka sendiri daripada hanya mengandalkan sistem operasi dan penyimpanan root browser mereka. Di sisi lain, jika kepercayaan publik tidak dibutuhkan, pribadi PKI infrastruktur membebaskan organisasi dari keharusan mematuhi standar yang mengatur publik PKI. Dalam hal ini, dimungkinkan untuk mengutip solusi populer untuk digunakan Layanan Sertifikat Direktori Aktif Microsoft untuk di rumah PKI. Lihat Artikel SSL.com tentang topik ini untuk penjelasan yang lebih rinci tentang publik vs pribadi PKI.
In-House vs SaaS
Ketika menimbang manfaat pribadi vs publik PKI, juga penting bagi organisasi untuk mempertimbangkan potensi biaya kepegawaian dan perangkat keras, dan menyadari bahwa mereka akan bertanggung jawab atas keamanan root pribadi dan kunci bawahan mereka sendiri. Jika kepercayaan publik diperlukan, upaya yang diperlukan untuk membangun dan memelihara kepatuhan terhadap OS dan program-program root browser cukup besar hingga tidak dapat diatasi untuk banyak organisasi. Di-host PKI untuk publik dan CA pribadi sekarang tersedia dari beberapa otoritas sertifikat root (termasuk SSL.com) dan dapat membantu pelanggan perusahaan menghindari banyak biaya dan upaya in-house PKI. CA bawahan yang di-host biasanya memungkinkan organisasi untuk mengeluarkan dan mengelola siklus hidup sertifikat entitas akhir melalui antarmuka berbasis web dan / atau API yang ditawarkan oleh host. Di-host PKI, dipercaya secara publik atau tidak, juga memberikan ketenangan pikiran kepada organisasi karena mengetahui bahwa tuan rumah mereka PKI fasilitas dan proses menjalani audit rutin, menyeluruh, dan mahal, dan bahwa mereka akan dipelihara dan diperbarui secara aktif ketika standar dan praktik terbaik berkembang.
Kesimpulan
Jika organisasi Anda memerlukan kemampuan untuk menerbitkan sertifikat yang dipercaya secara publik, CA bawahan yang dihosting adalah solusi yang hemat biaya dan nyaman. Jika Anda merasa bahwa CA bawahan bisa menjadi pilihan yang baik untuk Anda, jangan ragu untuk menghubungi kami di support@ssl.com for more information.
Dan, seperti biasa, terima kasih atas minat Anda SSL.com, di mana kami percaya bahwa Internet yang lebih aman adalah Internet yang lebih baik.
