Infraestrutura de chave pública
Quando as pessoas se referem a público or privado PKI [01], eles estão realmente se referindo a publicamente confiável e a Confiável em particular infra-estruturas. Lembre-se de que chaves públicas e privadas não estão relacionadas a chaves públicas e privadas PKI.
Além do mais, ambos os casos referem-se a hospedagem PKI or PKI-como um serviço (PKIaaS) soluções. Interno (ou hospedado localmente) PKI pode trabalhar como privado PKI, mas são necessários esforços e recursos significativos para implementar as ferramentas e serviços que você obteria de um host PKI or PKIprovedor de aaS.
Fundamentalmente, um PKI tem duas funções:
- para gerenciar uma coleção de[02] chaves privadas e
- vincular cada chave à identidade de uma entidade individual, como uma pessoa ou organização.
A vinculação é estabelecida através da emissão de documentos de identidade eletrônicos, chamados certificados digitais [03]. Os certificados são assinados criptograficamente com uma chave privada para que o software cliente (como navegadores) possa usar a chave pública correspondente para verificar o certificado autenticidade (ou seja, foi assinado pela chave privada correta) e integridade (ou seja, não foi modificado de forma alguma).
Confiança pública e privada PKI
Embora tanto PKI configurações fornecem a mesma função, sua distinção é bastante direta.
Público PKIs são automaticamente confiáveis pelo software cliente, enquanto os PKIs devem ser confiados manualmente pelo usuário (ou, em ambientes corporativos e de IoT, implantados em todos os dispositivos pelo administrador do domínio) antes de qualquer certificado emitido por esse PKI pode ser validado.
Uma organização que mantém uma confiança pública PKI é chamado de Autoridade de Certificação (CA). Para se tornar publicamente confiável, uma CA deve ser auditada em relação a padrões como os Requisitos de Base do Fórum CA / B [04] e ser aceito em repositórios de confiança públicos, como o Microsoft Trusted Root Store Program.
Embora privado PKI As implementações podem ser tão seguras quanto suas contrapartes públicas; elas não são confiáveis por padrão, porque não são comprovadamente compatíveis com esses requisitos e aceitas em programas de confiança.
Por que escolher uma empresa de confiança pública PKI?
Ser confiado publicamente significa que confia publicamente certificados raiz (associando a identidade de uma autoridade de certificação às suas chaves públicas oficiais) já estão distribuídas na maioria dos clientes. Navegadores, sistemas operacionais e outros softwares clientes são fornecidos com uma lista interna dessas chaves públicas confiáveis que são usadas para validar os certificados encontrados. (Pode-se também esperar que os fornecedores responsáveis atualizem essas listas ao atualizar seu software.) Por outro lado, certificados raiz confiáveis privados (necessários para um PKI) deve ser instalado manualmente em um cliente antes que os certificados de tais PKIs podem ser validados.
Como conseqüência, se você estiver tentando proteger um site acessível ao público ou outro recurso on-line, um certificado emitido por um servidor público confiável PKI (ou seja, uma CA) é o caminho a seguir, pois exige que cada visitante instale manualmente um PKIO certificado raiz de em seu navegador não é prático (e os avisos de segurança consistentes provavelmente afetarão negativamente a reputação do seu site).
Por que escolher uma empresa privada de confiança PKI?
Público PKIs devem seguir rigorosamente os regulamentos e passar por auditorias regulares, enquanto uma empresa privada de confiança PKI pode renunciar aos requisitos de auditoria e desviar-se dos padrões da maneira que seu operador achar adequado. Embora isso possa significar que eles não seguem as práticas recomendadas com rigor, também permite que os clientes usem uma rede privada PKI mais liberdade em relação a suas políticas e operações de certificado.
Um exemplo: os Requisitos de Linha de Base proíbem CAs confiáveis publicamente de emitir certificados para domínios internos (por exemplo, example.local
) Um privado PKI pode, se desejado, emitir certificados para qualquer domínio, conforme necessário, incluindo esses domínios locais.
Os certificados publicamente confiáveis também devem sempre incluir informações específicas de uma maneira estritamente definida por seus regulamentos de controle e formatados em um mapeamento de perfil de certificado para o padrão X.509 aceito para certificados públicos. No entanto, alguns clientes podem exigir um perfil de certificado personalizado, feito sob medida para os usos previstos de sua organização e questões de segurança. Um privado PKI pode emitir certificados usando um perfil de certificado especializado.
Além do próprio certificado, os PKI permite o controle total dos procedimentos de verificação de identidade e credenciais também. Os próprios sistemas de controle de acesso do cliente (como single sign-ons ou diretórios LDAP) podem ser integrados com o sistema privado PKI serviço para fornecer facilmente certificados a terceiros já confiáveis pelo operador. Por outro lado, uma empresa de confiança pública PKI deve executar rigorosas verificações manuais e automatizadas e validação em bancos de dados qualificados antes de emitir qualquer certificado.
Transparência do certificado
Também devemos observar que uma empresa privada PKI não é obrigado a participar Transparência do certificado [05].
Navegadores como o Chrome agora aplicam [06] CT para todos os certificados publicamente confiáveis, o que requer que as CAs publiquem todos os certificados emitidos em um banco de dados acessível publicamente. Privado PKI As operadoras, no entanto, não são obrigadas a implementar o CT e, como resultado, podem proporcionar melhor privacidade a aplicativos confidenciais ou onde a divulgação pública da estrutura interna da rede seria considerada prejudicial. [07].
Conclusão
Selecionando um PKI solução sobre o outro não é uma decisão trivial. Público e privado PKI ofereça benefícios e desvantagens, e sua própria escolha pode depender de muitos fatores, incluindo a necessidade de acesso público, facilidade de uso e requisitos de segurança e política para controle de sua infraestrutura.
Aqui na SSL.com, estamos felizes em ajudá-lo a criar uma solução eficaz PKI plano que atenda às necessidades exclusivas de sua organização.