¿El término "autoridad de certificación" se refiere a la organización que emite certificados (Symantec, Comodo, Vamos a cifrar, ...) o al dispositivo y software que emite certificados de CSR o ambos?
Cuando se habla de una "Autoridad de certificación" confiable, nos referimos a la organización / entidad que expide los certificados, y no a la herramienta utilizada para generarlos. Se refiere a la entidad en el campo "Emisor / Emitido por" de su certificado (por ejemplo, DigiCert para este sitio web). Por lo tanto, si emitiera sus propios certificados con las mismas herramientas que DigiCert, digamos OpenSSL, todavía no sería una CA de confianza para la mayoría de los navegadores. Por supuesto, puede ser una CA de confianza dentro de su organización / red / dispositivo grupo .
¿El término "autoridad de certificación" se refiere a la organización? emisión de certificados (symantec, comodo, vamos a cifrar, ...)
Técnicamente, sí.
o al ¿Dispositivo y software que emite certificados de CSR o ambos?
En la práctica, sí.
Una Autoridad de Certificación (CA) se define de la siguiente manera en RFC 5280 :
A continuación se muestra una vista simplificada del modelo arquitectónico asumido por la infraestructura de clave pública que utiliza las especificaciones X.509 (PKIX).
Los componentes de este modelo son:
...
CA: autoridad de certificación;
...
Las CA son responsables de indicar el estado de revocación de los certificados que emiten. La información del estado de revocación se puede proporcionar utilizando el Protocolo de estado de certificado en línea (OCSP) [RFC2560], las listas de revocación de certificados (CRL) o algún otro mecanismo. En general, cuando la información del estado de revocación se proporciona utilizando CRL, la CA también es el emisor de la CRL. Sin embargo, una CA puede delegar la responsabilidad de emitir CRL a una entidad diferente.
Claramente, esta es una definición organizativa en lugar de una descripción de los componentes de software necesarios; incluso la discusión de cómo funciona la revocación sugiere "Esto o aquello, o, ya sabes, algo más si quieres": describe una responsabilidad en lugar de un requisito técnico.
Dicho esto , en práctica , el término CA se usa a menudo para describir los bits técnicos que permiten a una organización generar sus propios certificados. Esto es un reflejo del hecho de que lo que hace que una CA sea de confianza es ... elegir confiar en ellos. De RFC 5280 otra vez:
Un usuario de certificado debe revisar la política de certificados generada por la autoridad de certificación (CA) antes de confiar en los servicios de autenticación o no rechazo asociados con la clave pública en un certificado particular. Para este fin, esta norma no prescribe normas o deberes legalmente vinculantes.
La lista de CA confiables variará de un SO a otro y posiblemente de un programa a otro ... vea, por ejemplo, este hilo para Firefox:
No tenemos una posición de principio contra la aceptación definida por el administrador certificados, o en contra de aceptar certificados definidos por el administrador que están provisionados utilizando APIs de OS y tiendas. Sin embargo, no queremos confiar en una raíz certificado en una plataforma completa por defecto solo porque el sistema operativo El vendedor confía en ello. Incluso ofreciendo la opción de cambiar al sistema operativo. tienda de nuestra tienda significa que algunos sitios públicos funcionarían en algunos Instala Firefox y no otros, lo que no es bueno para la web. compatibilidad.
Una vez que llegue a ese punto en el que las organizaciones podrían configurar su propia CA, una vez que comience a buscar en la Tienda de Raíces Confiables para personalizarla para su entorno, el término CA significa "ese servidor / software" y no tanto. mucho "la autoridad".
Por lo tanto, definitivamente escuchará a la gente decir "CA" cuando quieren decir "nuestra instalación de Microsoft Certificate Server, que actúa como una CA de confianza para nuestros usuarios internos".
Lea otras preguntas en las etiquetas certificates certificate-authority terminology