Public Key Infrastructure
När folk hänvisar till allmän or privat PKI [01], de refererar faktiskt till offentligt betrodda och privat betrodda infrastrukturer. Kom ihåg att offentliga och privata nycklar inte är relaterade till offentliga och privata PKI.
Dessutom hänvisar båda fallen till värd PKI or PKI-som-en-tjänst (PKIaaS) -lösningar. Internt (eller lokalt värd) PKI kan fungera som privat PKI, men det kräver en betydande mängd ansträngningar och resurser för att implementera de verktyg och tjänster du skulle få från en värd PKI or PKIaaS-leverantör.
I grund och botten a PKI har två funktioner:
- att hantera en samling allmänhet[02] och privata nycklar, och
- att binda varje nyckel med identiteten för en enskild enhet som en person eller organisation.
Bindning upprättas genom utfärdande av elektroniska identitetshandlingar, kallad digitala certifikat [03]. Certifikat är kryptografiskt signerade med en privat nyckel så att klientprogramvara (som webbläsare) kan använda motsvarande offentliga nyckel för att verifiera ett certifikats äktheten (dvs. det var undertecknat av rätt privat nyckel) och integritet (dvs. det ändrades inte på något sätt).
Offentligt betrodda och privat betrodda PKI
Medan båda PKI konfigurationer ger samma funktion, deras skillnad är ganska enkel.
offentliga PKIs förlitas automatiskt av klientprogramvara medan de är privata PKIs måste lita manuellt av användaren (eller i företagsmiljöer och IoT-miljöer, distribuerade till alla enheter av domänadministratören) innan några certifikat utfärdade av det PKI kan valideras.
En organisation som upprätthåller ett offentligt betrodda PKI kallas a certifikatutfärdare (CA). För att bli offentligt betrodda måste en CA granskas mot standarder som CA / B Forums baslinjekrav [04] och accepteras i allmänna förtroendebutiker som Microsoft Trusted Root Store-programmet.
Även om privat PKI implementeringar kan vara lika säkra som deras offentliga motsvarigheter, de är inte lita på som standard eftersom de inte är sannolikt överensstämmer med dessa krav och accepteras i förtroendeprogram.
Varför välja ett offentligt betrodda PKI?
Att vara offentligt betrodd betyder att det är offentligt betrodda rotcertifikat (att associera en CA-identitet med deras officiella offentliga nycklar) distribueras redan hos de flesta klienter. Webbläsare, operativsystem och annan klientprogramvara levereras med en inbyggd lista med sådana betrodda offentliga nycklar som används för att validera certifikat de stöter på. (Ansvariga leverantörer kan också förväntas uppdatera dessa listor vid uppdatering av deras programvara.) Däremot privatförtroende rotcertifikat (behövs för en privat PKI) måste installeras manuellt i en klient innan certifikat från sådana privata PKIs kan valideras.
Som en följd av detta, om du försöker skydda en offentligt tillgänglig webbplats eller annan online-resurs, utfärdas ett certifikat från en offentligt betrodd PKI (dvs. en CA) är vägen att gå, eftersom det krävs att varje besökare manuellt installerar en privat PKIrootcertifikat i deras webbläsare är inte praktiskt (och de konsekventa säkerhetsvarningar som sannolikt kommer att resultera kommer att påverka din webbplats rykte negativt).
Varför välja en privat betrodd PKI?
offentliga PKIs måste strikt följa föreskrifter och genomgå regelbundna revisioner, medan de är privat betrodda PKI får avstå från revisionskrav och avvika från standarder på något sätt som operatören finner det lämpligt. Även om detta kan innebära att de inte följer bästa praxis så strikt, tillåter det också kunder som använder en privat PKI mer frihet när det gäller deras certifikatpolicyer och verksamheter.
Ett exempel: Baslinjekraven förbjuder offentligt betrodda CA: er att utfärda certifikat för interna domäner (t.ex. example.local). En privat PKI kan, om så önskas, utfärda certifikat för någon domän efter behov, inklusive sådana lokala domäner.
Offentligt betrodda certifikat måste också alltid innehålla specifik information på ett sätt som strikt definieras av deras kontrollbestämmelser och formateras i en certifikatprofilmappning till den accepterade X.509-standarden för offentliga certifikat. Vissa kunder kan dock kräva en anpassad certifikatprofil, speciellt anpassad till deras organisations förväntade användningsområden och säkerhetsproblem. En privat PKI kan utfärda certifikat med en specialiserad certifikatprofil.
Bortsett från själva certifikatet, privat PKI möjliggör också full kontroll av identitets- och autentiseringsprocedurer. En kunds egna åtkomstkontrollsystem (som enstaka inloggningar eller LDAP-kataloger) kan integreras med det privata PKI service för att enkelt tillhandahålla certifikat till parter som redan har förtroende av operatören. Däremot en offentligt betrodd PKI måste utföra strikt manuell och automatiserad kontroll och validering mot kvalificerade databaser innan du utfärdar något certifikat.
Certifikatöppenhet
Vi bör också notera att en privat PKI krävs inte att delta i Certifikatöppenhet [05].
Webbläsare som Chrome verkställer nu [06] CT för alla offentligt betrodda certifikat, vilket kräver att certifikatutfärdare publicerar alla certifikat utfärdade till en offentligt tillgänglig databas. Privat PKI operatörer är emellertid inte skyldiga att implementera CT och kan därför ge bättre integritet för känsliga applikationer, eller där offentliggörande av intern nätverksstruktur skulle anses vara skadlig [07].
Slutsats
Väljer en PKI lösning över den andra är inte ett triviellt beslut. Både offentliga och privata PKI erbjuder fördelar och nackdelar, och ditt eget val kan bero på många faktorer, inklusive behov av allmänhetens åtkomst, användarvänlighet och säkerhets- och policykrav för kontroll av din infrastruktur.
här på SSL.com, hjälper vi dig med att bygga en effektiv PKI plan som passar din organisations unika behov.
