Autoridades de certificación: historial y registro

Cuando se refiere a las CA, realmente se está hablando de las CA que emiten certificados SSL públicos.

No hay una organización global responsable de administrar la emisión de certificados SSL. Queda a los desarrolladores de aplicaciones decidir en quién confían y qué tan alto es establecer esa barra. La lista de certificados raíz confiables en IE y Firefox tiene diferencias considerables.

Al final de los años 90 trabajé para First Data Corporation, que dedicó un tiempo y esfuerzo considerables a agregarse a las CA de confianza de Internet Explorer, aunque, por lo que sé, nunca emitieron certificados a terceros. Costó muchos cientos de miles de dólares pasar por el proceso de certificación formal y exigió que tuvieran un conjunto de documentos formales de políticas PKI (que cubren el ciclo de vida de los certificados).

Esta política estaba cubierta por RFC 2527 (luego reemplazada por RFC 3647), aunque no recuerdo si Microsoft exigió el cumplimiento de esa RFC en ese momento.

Más generalmente, hay muchas entidades emisoras de certificados que emiten certificados para otros fines. Sé que Skype solía ser uno de los proveedores de PKI más grandes: la PKI se usaba para identificar a los usuarios, aunque no estoy seguro de que esto siga siendo así. Algunas tarjetas de identidad nacionales en Europa incluyen certificados digitales PKI que se utilizan para permitir el acceso a C2G y B2G a través de lectores de tarjetas inteligentes.

Cualquier persona puede elegir ser un CA. En Pediatric Heart Center, decidimos ser nuestra propia CA, por lo que mantenemos un certificado raíz y una clave privada, y para cada certificado que firmamos, actualizamos una base de datos con el número de serie del nuevo certificado y otros detalles vitales sobre el certificado. que fue firmado Entonces podemos proporcionar estos certificados a los empleados para comunicaciones seguras y, como todos nuestros sistemas reconocen y confían en la raíz autofirmada, todos los certificados secundarios que creamos son aceptados automáticamente por los sistemas de nuestros empleados.

Cuando la red de confianza se vuelve un poco más peluda es para aquellos miembros del público en general que deben elegir reconocer nuestro certificado raíz y luego decidir cuánta confianza proporcionarle. Para nuestros clientes, podemos brindarles un poco de información sobre lo que pueden esperar y cómo proceder con el suministro de "Confianza" a nuestro certificado raíz en sus diversos sistemas.

Cada navegador web viene con un conjunto de certificados raíz ya instalados y "de confianza previa". Estas Autoridades de Certificación están bien establecidas y ya no son cuestionadas por el público en general.

Si desea estar entre estos certificados raíz, que están preinstalados y confiados, su mejor opción es ponerse en contacto con los fabricantes del navegador y, si es posible, tener sus credenciales y el certificado de CA raíz autorizados por los estándares centrales de Internet. junta.

Sr. Los deters sugirieron que la ICANN era un buen lugar para comenzar con su comentario un tanto sarcástico sobre su publicación original. Este podría ser un buen lugar para comenzar. Prepárese para proporcionar documentación sobre sus prácticas de firma y esté abierto a una inspección aleatoria, ya que ambas son requeridas por todas las Autoridades de Certificación, incluso las Autoridades de Certificación privadas como la nuestra en PHC.