cơ sở hạ tầng nơi công cộng
Khi mọi người nhắc đến công khai or riêng PKI [01], họ đang thực sự đề cập đến công khai và tin cậy tư nhân cơ sở hạ tầng. Xin lưu ý rằng khóa công khai và khóa riêng không liên quan đến khóa chung và riêng PKI.
Hơn nữa, cả hai trường hợp đều đề cập đến được lưu trữ PKI or PKI-as-a-Dịch vụ (PKIaaS) giải pháp. Nội bộ (hoặc được lưu trữ cục bộ) PKI có thể làm việc riêng PKI, nhưng phải mất một lượng lớn công sức và tài nguyên để triển khai các công cụ và dịch vụ bạn sẽ nhận được từ một máy chủ lưu trữ PKI or PKInhà cung cấp aaS.
Về cơ bản, một PKI có hai chức năng:
- để quản lý một bộ sưu tập công cộng[02] và khóa riêng, và
- để ràng buộc mỗi khóa với danh tính của một thực thể cá nhân như một người hoặc tổ chức.
Binding được thiết lập thông qua việc phát hành các tài liệu nhận dạng điện tử, được gọi là chứng chỉ số [03]. Chứng chỉ được ký mã hóa bằng khóa riêng tư để phần mềm máy khách (chẳng hạn như trình duyệt) có thể sử dụng khóa công khai tương ứng để xác minh chứng chỉ tính xác thực (tức là nó đã được ký bởi khóa riêng đúng) và tính toàn vẹn (tức là nó không được sửa đổi theo bất kỳ cách nào).
Tin cậy công khai và tin cậy riêng tư PKI
Trong khi cả hai PKI Các cấu hình cung cấp cùng chức năng, sự phân biệt của chúng khá đơn giản.
Công khai PKIs được tự động tin cậy bởi phần mềm máy khách, trong khi riêng tư PKIs phải được người dùng tin cậy thủ công (hoặc, trong môi trường doanh nghiệp và IoT, được quản trị viên tên miền triển khai cho tất cả các thiết bị) trước bất kỳ chứng chỉ nào được cấp bởi điều đó PKI có thể được xác nhận.
Một tổ chức duy trì sự tin cậy công khai PKI được gọi là Certificate Authority (CA). Để trở nên đáng tin cậy công khai, CA phải được đánh giá theo các tiêu chuẩn như Yêu cầu cơ bản của Diễn đàn CA / B [04] và được chấp nhận vào các cửa hàng tin cậy công cộng như Chương trình Cửa hàng Root đáng tin cậy của Microsoft.
Mặc dù riêng tư PKI việc triển khai có thể an toàn như các đối tác công khai của họ, chúng không được tin cậy theo mặc định vì chúng không phù hợp với các yêu cầu này và được chấp nhận vào các chương trình ủy thác.
Tại sao chọn một công khai đáng tin cậy PKI?
Được tin cậy công khai có nghĩa là tin cậy công khai chứng chỉ gốc (liên kết danh tính của một CA với các khóa công khai chính thức của họ) đã được phân phối ở hầu hết các khách hàng. Các trình duyệt, hệ điều hành và phần mềm máy khách khác được cung cấp với một danh sách tích hợp các khóa công khai đáng tin cậy như vậy được sử dụng để xác thực các chứng chỉ mà chúng gặp phải. (Các nhà cung cấp có trách nhiệm cũng có thể được dự kiến sẽ cập nhật các danh sách này khi cập nhật phần mềm của họ.) Ngược lại, chứng chỉ gốc đáng tin cậy riêng tư (cần thiết cho một tư nhân PKI) phải được cài đặt thủ công trong máy khách trước khi các chứng chỉ từ chế độ riêng tư đó PKIs có thể được xác nhận.
Kết quả là, nếu bạn đang cố gắng bảo vệ một trang web có thể truy cập công khai hoặc tài nguyên trực tuyến khác, chứng chỉ được cấp từ một người đáng tin cậy công khai PKI (nghĩa là CA) là cách để đi, vì yêu cầu mỗi khách truy cập phải cài đặt riêng tư PKIchứng chỉ gốc của trình duyệt của họ là không thực tế (và các cảnh báo bảo mật nhất quán có thể xảy ra sẽ ảnh hưởng tiêu cực đến danh tiếng trang web của bạn).
Tại sao chọn một tin cậy tư nhân PKI?
Công khai PKIs phải tuân thủ nghiêm ngặt các quy định và trải qua kiểm toán thường xuyên, trong khi đáng tin cậy tư nhân PKI có thể từ bỏ các yêu cầu kiểm toán và đi chệch khỏi các tiêu chuẩn theo bất kỳ cách nào mà nhà điều hành của nó thấy phù hợp. Mặc dù điều này có thể có nghĩa là họ không tuân thủ các thực tiễn tốt nhất một cách nghiêm ngặt, nhưng nó cũng cho phép khách hàng sử dụng riêng tư PKI tự do hơn về các chính sách và hoạt động chứng chỉ của họ.
Một ví dụ: Yêu cầu cơ bản nghiêm cấm các CA đáng tin cậy công khai cấp chứng chỉ cho các tên miền nội bộ (ví dụ: example.local). Một tư nhân PKI nếu muốn, có thể cấp chứng chỉ cho bất kỳ tên miền nào khi cần, bao gồm cả các tên miền cục bộ đó.
Chứng chỉ đáng tin cậy công khai cũng phải luôn bao gồm thông tin cụ thể theo cách được xác định chặt chẽ bởi các quy định kiểm soát của họ và được định dạng trong hồ sơ chứng chỉ ánh xạ tới tiêu chuẩn X.509 được chấp nhận cho chứng chỉ công khai. Tuy nhiên, một số khách hàng có thể yêu cầu hồ sơ chứng chỉ tùy chỉnh, được điều chỉnh cụ thể cho mục đích sử dụng dự kiến của tổ chức họ và các mối quan tâm về bảo mật. Một tư nhân PKI có thể cấp chứng chỉ bằng cách sử dụng hồ sơ chứng chỉ chuyên ngành.
Ngoài giấy chứng nhận, tư nhân PKI cho phép kiểm soát hoàn toàn các thủ tục xác minh danh tính và thông tin đăng nhập. Hệ thống kiểm soát truy cập của chính khách hàng (chẳng hạn như đăng nhập một lần hoặc thư mục LDAP) có thể được tích hợp với PKI dịch vụ dễ dàng cung cấp chứng chỉ cho các bên đã được nhà điều hành tin cậy. Ngược lại, một công chúng đáng tin cậy PKI phải thực hiện kiểm tra và xác nhận tự động nghiêm ngặt đối với cơ sở dữ liệu đủ điều kiện trước khi cấp bất kỳ chứng chỉ nào.
Chứng nhận minh bạch
Chúng ta cũng nên lưu ý rằng một tư nhân PKI không bắt buộc phải tham gia Chứng nhận minh bạch [05].
Các trình duyệt như Chrome hiện thi hành [06] CT cho tất cả các chứng chỉ đáng tin cậy công khai, yêu cầu CA phải xuất bản tất cả các chứng chỉ được cấp vào cơ sở dữ liệu có thể truy cập công khai. Riêng tư PKI Tuy nhiên, các nhà khai thác không bắt buộc phải thực hiện CT và do đó có thể cung cấp quyền riêng tư tốt hơn cho các ứng dụng nhạy cảm hoặc khi việc tiết lộ công khai về cấu trúc mạng nội bộ sẽ bị coi là có hại [07].
Kết luận
Chọn một PKI giải pháp khác không phải là một quyết định tầm thường. Cả công cộng và tư nhân PKI cung cấp các lợi ích và nhược điểm, và sự lựa chọn của bạn có thể phụ thuộc vào nhiều yếu tố, bao gồm nhu cầu truy cập công cộng, dễ sử dụng và các yêu cầu chính sách và bảo mật để kiểm soát cơ sở hạ tầng của bạn.
Ở đây tại SSL.com, chúng tôi rất vui khi được giúp bạn xây dựng hiệu quả PKI kế hoạch phù hợp với nhu cầu riêng của tổ chức bạn.
