CA subordinate e perché potresti averne bisogno

Che cos'è una CA subordinata?

Nell'infrastruttura a chiave pubblica di Internet (Internet PKI), la fiducia del pubblico risiede in definitiva nei certificati CA radice tutelati da autorità di certificazione quali SSL.com. Questi certificati sono incorporati nei browser Web, nei sistemi operativi e nei dispositivi degli utenti finali e consentono agli utenti di fidarsi delle identità dei server Internet e di stabilire comunicazioni crittografate con loro (per informazioni più dettagliate, consultare l'articolo di SSL.com su Browser e convalida dei certificati).

Poiché sono la tecnologia principale che consente comunicazioni affidabili e sicure su Internet e sono difficili e costose da stabilire e mantenere, le chiavi private dei certificati radice pubblicamente affidabili sono estremamente preziose e devono essere protette a tutti i costi. Pertanto, ha più senso per le CA emettere certificati di entità finale ai clienti da certificati subordinati (a volte indicato anche come certificati intermedi). Questi sono firmati dal certificato radice, che viene mantenuto offline in modo sicuro e vengono utilizzati per firmare certificati di entità finale, come SSL /TLS certificati per server Web. Questo crea un catena di fiducia riconducendo alla CA principale e il compromesso di un certificato subordinato, per quanto negativo possa essere, non comporta la disastrosa necessità di revocare ogni certificato mai emesso dalla CA principale. Codificando questa risposta di buon senso alla situazione, il Forum CA / Browser Requisiti di base vietare il rilascio di certificati di entità finale direttamente dalle autorità di certificazione radice e in sostanza richiedono che siano tenuti offline, imponendo l'uso di autorità di certificazione subordinate (noto anche come CA emittenti) in Internet PKI.

Oltre a mantenere sicura la CA radice, le CA subordinate svolgono funzioni amministrative all'interno delle organizzazioni. Ad esempio, una CA subordinata può essere utilizzata per firmare i certificati SSL e un'altra per la firma del codice. Nel caso di Internet pubblico PKI, alcune di queste separazioni amministrative sono richieste dal forum CA / Browser. In altri casi, che desideriamo esaminare più da vicino qui, una CA radice può emettere una CA subordinata e delegarla a un'organizzazione separata, conferendo la capacità di firmare certificati pubblicamente attendibili a tale entità.

Perché potresti averne bisogno

La risposta breve è che una CA subordinata ospitata offre il massimo controllo possibile sull'emissione di certificati di entità finale pubblicamente attendibili, a una frazione del costo potenziale per stabilire la propria CA radice e / o privata PKI infrastrutture.

Mentre un PKI la catena di attendibilità può contenere più di tre certificati e può essere disposta in gerarchie complesse, il principio generale dei certificati radice, intermedio e delle entità finali rimane coerente: le entità che controllano CA subordinate firmate da CA radice attendibili possono emettere certificati che sono implicitamente attendibili dai sistemi operativi e dai browser Web degli utenti finali. Senza una CA subordinata che esiste come parte di una catena di fiducia verso una CA radice, un'organizzazione può solo emettere auto-firmato certificati che devono essere installati manualmente dagli utenti finali, che devono anche prendere le proprie decisioni sull'affidabilità del certificato o sulla creazione di un privato PKI infrastruttura (vedi sotto). Evitare questo ostacolo all'usabilità e la potenziale barra di fiducia, pur mantenendo la possibilità di emettere certificati personalizzati secondo gli obiettivi aziendali della propria organizzazione, è uno dei motivi principali per cui si potrebbe desiderare la propria CA subordinata come parte dell'organizzazione PKI pianificare.

Esistono molte altre ragioni convincenti che un'organizzazione potrebbe voler acquisire la propria CA subordinata. Alcuni di questi sono:

  • Certificati con marchio. Le aziende come le società di web hosting potrebbero voler offrire SSL /TLS certificati ai propri clienti. Con una CA subordinata firmata da una CA radice pubblica, queste aziende possono emettere certificati pubblicamente attendibili a proprio nome, a piacimento, senza dover stabilire la propria CA radice negli archivi root del browser e del sistema operativo o investire pesantemente in PKI infrastrutture.
  • Autenticazione client. Il controllo di una CA subordinata conferisce la capacità di firmare certificati che possono essere utilizzati per autenticare i dispositivi degli utenti finali e regolare l'accesso ai sistemi. Un produttore di termostati digitali o set-top box potrebbe voler emettere un certificato per ogni dispositivo, assicurando che solo i suoi dispositivi possano comunicare con i suoi server. Con la propria CA subordinata, l'azienda ha il controllo completo sull'emissione e l'aggiornamento dei certificati secondo necessità sui dispositivi per i quali produce, vende e / o fornisce servizi. Esigenze aziendali specifiche possono richiedere o trarre vantaggio dall'utilizzo di servizi pubblici piuttosto che privati PKI in questo ruolo. Ad esempio, un dispositivo IoT potrebbe includere un server Web integrato per il quale il produttore desidera emettere un SSL /TLS certificato.
  • Personalizzazione. Con la propria CA subordinata e tenendo presente che i certificati rivolti al pubblico sono soggetti ai requisiti di base della CA / Forum Forum, un'organizzazione è libera di personalizzare e configurare i propri certificati e il loro ciclo di vita per soddisfare le proprie esigenze specifiche.

Privato vs. Pubblico PKI

Quando si forma a PKI piano, le imprese devono fare delle scelte tra privato e pubblico PKI. Ai fini di questo articolo, è molto importante notare che se un'organizzazione desidera emettere certificati rivolti al pubblico e aspettarsi che siano implicitamente attendibili, l'organizzazione devono obbligatoriamente: avere una CA subordinata firmata da una CA radice pubblicamente attendibile o riuscire a ottenere il proprio certificato autofirmato attendibile dai vari programmi radice. Senza una catena di fiducia a una CA radice, gli utenti finali sono costretti a determinare autonomamente la fiducia piuttosto che limitarsi a fare affidamento sul sistema operativo e sui negozi di root del browser. D'altra parte, se la fiducia del pubblico lo è non necessario, un privato PKI l'infrastruttura libera un'organizzazione dal bisogno di aderire agli standard che regolano il pubblico PKI. In questo caso, è possibile, per citare una soluzione popolare, da utilizzare Servizi certificati Microsoft Active Directory per interni PKI. Vedere L'articolo di SSL.com su questo argomento per una spiegazione più dettagliata di pubblico vs. privato PKI.

In-House contro SaaS

Quando si valutano i benefici del privato rispetto al pubblico PKI, è anche importante che un'organizzazione consideri il costo potenziale del personale e dell'hardware e si renda conto che saranno responsabili della sicurezza della propria radice privata e delle chiavi subordinate. Se è richiesta la fiducia del pubblico, lo sforzo necessario per stabilire e mantenere la conformità con il SO e i programmi root del browser è considerevole al punto da essere insormontabile per molte organizzazioni. Ospitato PKI sia per il pubblico ed le CA private sono ora disponibili da più autorità di certificazione radice (incluso SSL.com) e può aiutare i clienti aziendali a evitare gran parte delle spese e degli sforzi interni PKI. Una CA subordinata ospitata in genere consente alle organizzazioni di emettere e gestire il ciclo di vita dei certificati delle entità finali tramite un'interfaccia basata sul Web e / o API offerti dall'host. Ospitato PKI, pubblicamente attendibili o meno, offre inoltre alle organizzazioni la tranquillità di sapere che il loro host PKI le strutture e i processi sono sottoposti a controlli regolari, approfonditi e costosi e saranno mantenuti attivamente e aggiornati man mano che gli standard e le migliori pratiche evolvono.

Conclusione

Se la tua organizzazione ha bisogno della capacità di emettere certificati pubblicamente attendibili, una CA subordinata ospitata è una soluzione conveniente e conveniente. Se ritieni che una CA subordinata possa essere una buona opzione per te, non esitare a contattarci all'indirizzo support@ssl.com per maggiori informazioni.

E, come sempre, grazie per l'interesse dimostrato per SSL.com, in cui riteniamo che Internet più sicura sia Internet migliore.

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.