Wat is een ondergeschikte certificeringsinstantie?
In openbare infrastructuur met openbare sleutels (internet PKI), het vertrouwen van het publiek berust uiteindelijk in de root CA-certificaten die worden beschermd door certificeringsinstanties zoals SSL.com. Deze certificaten zijn ingebouwd in de webbrowsers, besturingssystemen en apparaten van eindgebruikers en stellen gebruikers in staat de identiteit van internetservers te vertrouwen en versleutelde communicatie met hen tot stand te brengen (zie voor meer gedetailleerde informatie het artikel van SSL.com over Browsers en certificaatvalidatie).
Omdat ze de primaire technologie zijn die betrouwbare en veilige communicatie op internet mogelijk maakt en moeilijk en duur te maken en te onderhouden zijn, zijn de privésleutels van openbaar vertrouwde rootcertificaten buitengewoon waardevol en moeten ze koste wat kost worden beschermd. Daarom is het voor CA's het meest logisch om eindentiteitscertificaten uit te geven aan klanten ondergeschikte certificaten (soms ook wel aangeduid als tussenliggende certificaten). Deze worden ondertekend door het rootcertificaat, dat veilig offline wordt bewaard, en worden gebruikt om eindentiteitscertificaten te ondertekenen, zoals SSL /TLS certificaten voor webservers. Dit creëert een keten van vertrouwen terug naar de root-CA en het compromitteren van een ondergeschikt certificaat, hoe erg dat ook is, leidt niet tot de rampzalige noodzaak om elk certificaat dat ooit door de root-CA is uitgegeven in te trekken. Het coderen van deze logische reactie op de situatie, het CA / Browser Forum Basisvereisten verbieden het rechtstreeks uitgeven van certificaten van eindentiteiten vanuit root-CA's en vereisen in wezen dat ze offline worden bewaard, wat het gebruik van ondergeschikte CA's verplicht stelt (ook bekend als CA's afgeven) op het internet PKI.
Naast het veilig houden van de root-CA, voeren ondergeschikte CA's administratieve functies uit binnen organisaties. Een ondergeschikte CA kan bijvoorbeeld worden gebruikt om SSL-certificaten te ondertekenen en een andere voor het ondertekenen van code. In het geval van openbaar internet PKI, worden sommige van deze administratieve scheidingen opgelegd door het CA / Browser-forum. In andere gevallen, die we hier nader willen onderzoeken, kan een root-CA een ondergeschikte CA uitgeven en deze delegeren aan een afzonderlijke organisatie, waardoor die entiteit de mogelijkheid krijgt om openbaar vertrouwde certificaten te ondertekenen.
Waarom je er misschien een nodig hebt
Het korte antwoord is dat een gehoste ondergeschikte CA u de grootst mogelijke controle biedt over de uitgifte van publiekelijk vertrouwde eindentiteitscertificaten, tegen een fractie van de mogelijke kosten voor het opzetten van uw eigen root-CA en / of privé PKI infrastructuur.
Terwijl een PKI vertrouwensketen kan meer dan drie certificaten bevatten, en kan in complexe hiërarchieën zijn gerangschikt, het algemene principe van root-, intermediaire en eindentiteitscertificaten blijft consistent: entiteiten die ondergeschikte CA's controleren die zijn ondertekend door vertrouwde root-CA's, kunnen certificaten afgeven die impliciet vertrouwd zijn door de besturingssystemen en webbrowsers van eindgebruikers. Zonder een ondergeschikte CA die bestaat als onderdeel van een vertrouwensketen aan een root-CA, kan een organisatie alleen uitgeven zelfondertekend certificaten die handmatig moeten worden geïnstalleerd door eindgebruikers, die ook hun eigen beslissingen moeten nemen over het al dan niet vertrouwen van het certificaat of het bouwen van een privé PKI infrastructuur (zie hieronder). Het vermijden van deze bruikbare belemmering en potentiële belemmering om te vertrouwen, terwijl het de mogelijkheid behoudt om naar wens aangepaste certificaten uit te geven in overeenstemming met de bedrijfsdoelen van uw organisatie, is een van de belangrijkste redenen waarom u uw eigen ondergeschikte CA als onderdeel van de organisatie wilt hebben PKI Plan.
Er zijn een aantal andere dwingende redenen waarom een organisatie wellicht een eigen ondergeschikte CA wenst te verwerven. Een paar hiervan zijn:
- Merkcertificaten. Ondernemingen zoals webhostingbedrijven willen mogelijk openbare SSL /TLS certificaten aan hun klanten. Met een ondergeschikte CA die is ondertekend door een openbare root-CA, kunnen deze bedrijven naar believen openbaar vertrouwde certificaten uitgeven in hun eigen naam, zonder dat ze hun eigen root-CA in de root-stores van de browser en het besturingssysteem hoeven op te zetten of zwaar te investeren in PKI infrastructuur.
- Clientverificatie. Het besturen van een ondergeschikte CA geeft de mogelijkheid om certificaten te ondertekenen die kunnen worden gebruikt om apparaten van eindgebruikers te authenticeren en de toegang tot systemen te reguleren. Een fabrikant van digitale thermostaten of settopboxen wil misschien een certificaat afgeven voor elk apparaat, om ervoor te zorgen dat alleen zijn apparaten met zijn servers kunnen communiceren. Met zijn eigen ondergeschikte CA heeft de onderneming volledige controle over het uitgeven en bijwerken van certificaten waar nodig op de apparaten waarvoor ze produceren, verkopen en / of diensten verlenen. Specifieke zakelijke behoeften kunnen vereisen of profiteren van het gebruik van openbaar vertrouwd in plaats van privé PKI in deze rol. Een IoT-apparaat kan bijvoorbeeld een ingebouwde webserver bevatten waarvoor de fabrikant een uniek identificeerbare, openbaar vertrouwde SSL /TLS certificaat.
- Maatwerk. Met een eigen ondergeschikte certificeringsinstantie, en rekening houdend met het feit dat op het publiek gerichte certificaten onderworpen zijn aan de basisvereisten van het CA / Browser Forum, is het een organisatie vrij om haar certificaten en hun levenscyclus aan te passen en te configureren om aan haar specifieke behoeften te voldoen.
Privé versus openbaar PKI
Bij het vormen van een PKI plan moeten bedrijven keuzes maken tussen privaat en publiek PKI. Voor de toepassing van dit artikel is het van het grootste belang op te merken dat als een organisatie openbaar gerichte certificaten wil afgeven en verwacht dat ze impliciet worden vertrouwd, de organisatie Dan moet je een ondergeschikte CA laten ondertekenen door een publiekelijk vertrouwde root-CA, of erin slagen om hun eigen zelfondertekende certificaat te krijgen dat wordt vertrouwd door de verschillende root-programma's. Zonder een vertrouwensketen met een root-CA worden eindgebruikers gedwongen om hun eigen vertrouwen te bepalen in plaats van simpelweg te vertrouwen op hun besturingssysteem en browser-rootopslag. Aan de andere kant, als het publiek vertrouwen is niet nodig, een privé PKI infrastructuur voorkomt dat een organisatie zich hoeft te houden aan normen die het publiek reguleren PKI. In dit geval is het mogelijk om een populaire oplossing te gebruiken Microsoft Active Directory-certificaatservices voor binnenshuis PKI. Zien Het artikel van SSL.com over dit onderwerp voor een meer gedetailleerde uitleg van publiek versus privé PKI.
In-house vs. SaaS
Bij het afwegen van de voordelen van privé versus openbaar PKIis het ook belangrijk dat een organisatie de potentiële kosten van personeel en hardware in overweging neemt en beseft dat zij verantwoordelijk zal zijn voor de beveiliging van hun eigen privé-root en ondergeschikte sleutels. Als het vertrouwen van het publiek vereist is, is de inspanning die nodig is om de naleving van OS- en browser-rootprogramma's vast te stellen en te handhaven aanzienlijk tot het punt dat het voor veel organisaties onoverkomelijk is. Gehost PKI voor beide publiek en privé-CA's zijn nu beschikbaar bij meerdere basiscertificeringsinstanties (waaronder SSL.com) en kunnen zakelijke klanten helpen om een groot deel van de kosten en inspanningen van in-house te vermijden PKI. Met een gehoste ondergeschikte certificeringsinstantie kunnen organisaties doorgaans de levenscyclus van certificaten van eindentiteiten uitgeven en beheren via een webgebaseerde interface en / of API die door de host wordt aangeboden. Gehost PKI, al dan niet publiekelijk vertrouwd, geeft organisaties ook de gemoedsrust te weten dat die van hun gastheer PKI faciliteiten en processen ondergaan regelmatige, grondige en dure audits en worden actief onderhouden en bijgewerkt naarmate standaarden en beste praktijken evolueren.
Conclusie
Als uw organisatie de mogelijkheid nodig heeft om openbaar vertrouwde certificaten uit te geven, is een gehoste ondergeschikte CA een kosteneffectieve en gemakkelijke oplossing. Als u denkt dat een ondergeschikte CA een goede optie voor u kan zijn, aarzel dan niet om contact met ons op te nemen via ondersteuning@ssl.com voor meer informatie.
En, zoals altijd, bedankt voor uw interesse in SSL.com, waar wij geloven dat een veiliger internet een beter internet is.