en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

CAs subordinadas e por que você pode precisar de uma

O que é uma autoridade de certificação subordinada?

Na infraestrutura de chave pública da Internet (Internet PKI), a confiança pública reside, em última instância, nos certificados CA raiz protegidos por autoridades de certificação, como SSL.com. Esses certificados são integrados aos navegadores, sistemas operacionais e dispositivos dos usuários finais e permitem que os usuários confiem nas identidades dos servidores da Internet e estabeleçam comunicações criptografadas com eles (para obter informações mais detalhadas, consulte o artigo SSL.com sobre Navegadores e validação de certificado).

Como são a tecnologia primária que permite a comunicação confiável e segura na Internet e são difíceis e caras de estabelecer e manter, as chaves privadas de certificados raiz publicamente confiáveis ​​são extremamente valiosas e devem ser protegidas a todo custo. Portanto, faz mais sentido para CAs emitir certificados de entidade final para clientes de certificados subordinados (às vezes também chamado de certificados intermediários) Eles são assinados pelo certificado raiz, que é mantido offline com segurança e são usados ​​para assinar certificados de entidade final, como SSL /TLS certificados para servidores web. Isso cria um cadeia de confiança levar de volta à autoridade de certificação raiz e o comprometimento de um certificado subordinado, por pior que seja, não resulta na necessidade desastrosa de revogar todos os certificados já emitidos pela autoridade de certificação raiz. Codificando essa resposta de senso comum à situação, o CA / Browser Forum Requisitos de linha de base proíbe a emissão de certificados de entidade final diretamente de CAs raiz e exige essencialmente que eles sejam mantidos offline, exigindo o uso de CAs subordinadas (também conhecidas como CAs emissoras) na internet PKI.

Além de manter a CA raiz segura, as CAs subordinadas realizam funções administrativas dentro das organizações. Por exemplo, uma CA subordinada pode ser usada para assinar certificados SSL e outra para assinatura de código. No caso da Internet pública PKI, algumas dessas separações administrativas são exigidas pelo fórum CA / Browser. Em outros casos, que desejamos examinar mais de perto aqui, uma CA raiz pode emitir uma CA subordinada e delegá-la a uma organização separada, conferindo a capacidade de assinar certificados publicamente confiáveis ​​para essa entidade.

Por que você pode precisar de um

A resposta curta é que uma CA subordinada hospedada oferece o maior controle possível sobre a emissão de certificados de entidade final publicamente confiáveis, por uma fração do custo potencial de estabelecer sua própria CA raiz e / ou privada PKI a infraestrutura.

Enquanto um PKI a cadeia de confiança pode conter mais de três certificados e pode ser organizada em hierarquias complexas, o princípio geral de certificados raiz, intermediário e de entidade final permanece consistente: entidades que controlam CAs subordinadas assinadas por CAs raiz confiáveis ​​podem emitir certificados que são implicitamente confiáveis pelos sistemas operacionais e navegadores da web dos usuários finais. Sem uma autoridade de certificação subordinada existente como parte de uma cadeia de confiança de uma autoridade de certificação raiz, uma organização pode emitir apenas autoassinado certificados que devem ser instalados manualmente pelos usuários finais, que também devem tomar suas próprias decisões sobre confiar ou não no certificado ou criar um PKI infraestrutura (veja abaixo). Evitar esse impedimento de usabilidade e potencial barra de confiança, mantendo a capacidade de emitir certificados personalizados à vontade, de acordo com os objetivos de negócios da sua organização, é um dos principais motivos pelos quais você pode querer que sua própria CA subordinada faça parte da organização. PKI personalizado.

Há vários outros motivos convincentes para que uma organização deseje adquirir sua própria autoridade de certificação subordinada. Alguns deles são:

  • Certificados de marca. Empresas como empresas de hospedagem na web podem desejar oferecer SSL /TLS certificados para seus clientes. Com uma CA subordinada assinada por uma CA raiz pública, essas empresas podem emitir certificados publicamente confiáveis ​​em seu próprio nome, à vontade, sem ter que estabelecer sua própria CA raiz em armazenamentos raiz de navegador e sistema operacional ou investir pesadamente em PKI a infraestrutura.
  • Autenticação de cliente. O controle de uma CA subordinada confere a capacidade de assinar certificados que podem ser usados ​​para autenticar os dispositivos dos usuários finais e regular o acesso aos sistemas. Um fabricante de termostatos digitais ou decodificadores pode desejar emitir um certificado para cada dispositivo, garantindo que apenas seus dispositivos possam se comunicar com seus servidores. Com sua própria CA subordinada, a empresa tem controle total sobre a emissão e atualização de certificados conforme necessário nos dispositivos que fabrica, vende e / ou fornece serviços. As necessidades comerciais específicas podem exigir ou se beneficiar do uso de confiança pública em vez de privada PKI nesta função. Por exemplo, um dispositivo IoT pode incluir um servidor web embutido para o qual o fabricante deseja emitir um SSL / publicamente confiável identificável de maneira únicaTLS certificado.
  • Costumização. Com sua própria CA subordinada e tendo em mente que os certificados voltados ao público estão sujeitos aos Requisitos de Linha de Base do Fórum da CA / Navegador, uma organização é livre para personalizar e configurar seus certificados e seu ciclo de vida para atender às suas necessidades específicas.

Privado x Público PKI

Ao formar um PKI plano, as empresas devem fazer escolhas entre público e privado PKI. Para os fins deste artigo, é mais importante observar que, se uma organização deseja emitir certificados públicos e esperar que eles sejam implicitamente confiáveis, a organização devo ter uma CA subordinada assinada por uma CA raiz confiável publicamente ou gerenciar para obter seu próprio certificado autoassinado confiável para os vários programas raiz. Sem uma cadeia de confiança para uma CA raiz, os usuários finais são forçados a fazer sua própria determinação de confiança, em vez de simplesmente confiar em seu sistema operacional e armazenamentos de raiz do navegador. Por outro lado, se a confiança pública for não necessário, um PKI infra-estrutura libera uma organização da necessidade de aderir aos padrões que regulam PKI. Nesse caso, é possível citar uma solução popular, usar Serviços de Certificados do Microsoft Active Directory para casa PKI. Ver Artigo SSL.com sobre este tópico para obter uma explicação mais detalhada de público vs. privado PKI.

Interno vs. SaaS

Ao ponderar os benefícios de particulares versus públicos PKI, também é importante para uma organização considerar o custo potencial da equipe e do hardware e perceber que eles serão responsáveis ​​pela segurança de suas próprias raízes privadas e chaves subordinadas. Se a confiança do público for necessária, o esforço necessário para estabelecer e manter a conformidade com os programas raiz do SO e do navegador é considerável a ponto de ser insuperável para muitas organizações. Hospedado PKI para ambos públicos e CAs privadas agora estão disponíveis em várias autoridades de certificação raiz (incluindo SSL.com) e pode ajudar os clientes corporativos a evitar grande parte da despesa e do esforço internos PKI. Uma CA subordinada hospedada normalmente permite que as organizações emitam e gerenciem o ciclo de vida dos certificados da entidade final por meio de uma interface baseada na Web e / ou API oferecida pelo host. Hospedado PKI, publicamente confiáveis ​​ou não, também dá às organizações a tranquilidade de saber que o PKI as instalações e os processos passam por auditorias regulares, completas e caras, e que serão ativamente mantidos e atualizados à medida que os padrões e as melhores práticas evoluírem.

Conclusão

Se a sua organização precisa da capacidade de emitir certificados publicamente confiáveis, uma CA subordinada hospedada é uma solução econômica e conveniente. Se você acha que um CA subordinado poderia ser uma boa opção para você, não hesite em nos contatar em support@ssl.com Para obter mais informações.

E, como sempre, obrigado pelo seu interesse em SSL.com, onde acreditamos que uma Internet mais segura é uma Internet melhor.

Artigos Relacionados

Inscreva-se no boletim informativo de SSL.com

O que é SSL /TLS?

Reproduzir Vídeo

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com