Infrastruttura a chiave pubblica
Quando le persone si riferiscono la percezione or un bagno PKI ,, in realtà si riferiscono a pubblicamente fidato ed fiducia privata infrastrutture. Tieni presente che le chiavi pubbliche e private non sono correlate a pubbliche e private PKI.
Inoltre, entrambi i casi si riferiscono a hosted PKI or PKI-come-servizio (PKIaaS) soluzioni. Interno (o ospitato localmente) PKI può funzionare come privato PKI, ma ci vuole una notevole quantità di sforzi e risorse per implementare gli strumenti e i servizi che otterresti da un host PKI or PKIfornitore aaS.
Fondamentalmente, a PKI ha due funzioni:
- gestire una raccolta di pubblico, e chiavi private, e
- associare ogni chiave all'identità di una singola entità come una persona o un'organizzazione.
Il legame viene stabilito mediante l'emissione di documenti di identità elettronici, chiamati certificati digitali ,. I certificati sono firmati crittograficamente con una chiave privata in modo che il software client (come i browser) possa utilizzare la chiave pubblica corrispondente per verificare il autenticità (ovvero è stato firmato dalla chiave privata corretta) e interezza (cioè non è stato modificato in alcun modo).
Affidabile pubblicamente e riservato PKI
Mentre sia PKI le configurazioni forniscono la stessa funzione, la loro distinzione è piuttosto semplice.
Pubblico PKIs sono automaticamente considerati affidabili dal software client, mentre sono privati PKIgli s devono essere considerati manualmente attendibili dall'utente (o, in ambienti aziendali e IoT, distribuiti a tutti i dispositivi dall'amministratore del dominio) prima di qualsiasi certificato emesso da tale PKI può essere validato.
Un'organizzazione che mantiene un pubblico attendibile PKI si chiama a Certificate Authority (CIRCA). Per diventare pubblicamente attendibile, una CA deve essere verificata in base a standard come i requisiti di base del forum CA / B , ed essere accettato nei negozi fiduciari pubblici come il programma Microsoft Trusted Root Store.
Anche se privato PKI le implementazioni possono essere sicure tanto quanto le loro controparti pubbliche, non sono attendibili per impostazione predefinita perché non sono dimostrabilmente conformi a questi requisiti e accettate nei programmi di fiducia.
Perché scegliere un pubblico attendibile PKI?
Essere fidati pubblicamente significa che fidarsi pubblicamente certificati radice (associando l'identità di una CA alle loro chiavi pubbliche ufficiali) sono già distribuiti nella maggior parte dei client. I browser, i sistemi operativi e altri software client vengono forniti con un elenco integrato di tali chiavi pubbliche affidabili che vengono utilizzate per convalidare i certificati che incontrano. (Ci si può aspettare che anche i fornitori responsabili aggiornino questi elenchi durante l'aggiornamento del loro software.) Al contrario, certificati radice attendibili privatamente (necessari per un privato PKI) deve essere installato manualmente in un client prima dei certificati di tale privato PKIs può essere validato.
Di conseguenza, se si sta tentando di proteggere un sito Web accessibile al pubblico o altre risorse online, un certificato emesso da un pubblico attendibile PKI (vale a dire, una CA) è la strada da percorrere, poiché richiede a ciascun visitatore di installare manualmente un privato PKIil certificato di origine di nel loro browser non è pratico (e gli avvisi di sicurezza coerenti che potrebbero risultare influenzeranno negativamente la reputazione del tuo sito).
Perché scegliere un privato di fiducia PKI?
Pubblico PKIdevono seguire rigorosamente le normative e sottoporsi a controlli periodici, mentre un privato di fiducia PKI può rinunciare ai requisiti di revisione e discostarsi dagli standard nel modo che il suo operatore ritiene opportuno. Anche se questo può significare che non seguono le migliori pratiche in modo rigoroso, consente anche ai clienti di utilizzare un privato PKI maggiore libertà per quanto riguarda le politiche e le operazioni relative ai certificati.
Un esempio: i requisiti di base vietano alle autorità di certificazione pubbliche di emettere certificati per domini interni (ad es example.local). Un privato PKI può, se lo si desidera, rilasciare certificati per qualsiasi dominio, compresi tali domini locali.
I certificati pubblicamente attendibili devono inoltre includere sempre informazioni specifiche in un modo rigorosamente definito dalle normative di controllo e formattate in un mapping del profilo del certificato allo standard X.509 accettato per i certificati pubblici. Tuttavia, alcuni clienti potrebbero richiedere un profilo di certificato personalizzato, adattato in modo specifico agli usi previsti e ai problemi di sicurezza della loro organizzazione. Un privato PKI può emettere certificati utilizzando un profilo di certificato specializzato.
A parte il certificato stesso, privato PKI consente anche il pieno controllo delle procedure di verifica dell'identità e delle credenziali. I sistemi di controllo degli accessi di un cliente (come single sign-on o directory LDAP) possono essere integrati con il private PKI servizio per fornire facilmente certificati a soggetti già considerati affidabili dall'operatore. Al contrario, un pubblico di fiducia PKI deve eseguire rigorosi controlli manuali e automatizzati e la convalida su database qualificati prima di emettere qualsiasi certificato.
Trasparenza del certificato
Dovremmo anche notare che un privato PKI non è richiesto per partecipare Trasparenza del certificato ,.
Browser come Chrome ora applicano , CT per tutti i certificati attendibili pubblicamente, che richiede alle CA di pubblicare tutti i certificati emessi in un database accessibile pubblicamente. Privato PKI gli operatori, tuttavia, non sono obbligati a implementare CT e, di conseguenza, possono fornire una migliore privacy per applicazioni sensibili o dove la divulgazione pubblica della struttura della rete interna sarebbe considerata dannosa ,.
Conclusione
Selezionarne uno PKI la soluzione sull'altra non è una decisione banale. Sia pubblico che privato PKI offrire vantaggi e svantaggi e la tua scelta può dipendere da molti fattori, tra cui la necessità di accesso del pubblico, facilità d'uso e requisiti di sicurezza e policy per il controllo della tua infrastruttura.
Qui a SSL.com, siamo felici di aiutarti a costruire un efficace PKI piano che si adatta alle esigenze specifiche della tua organizzazione.
