¿Puedo comprar un certificado válido para la firma para uso interno?

Navega tus respuestas
3

Ahora que tengo que implementar "transporte seguro" como se define en The Direct Project (no por mencionar que reinventé un montón de ruedas, pero esa es otra historia para SO), me encuentro mirando hacia abajo en el barril al tener que crear varias docenas de certificados S / MIME de usuarios internos ya que (por razones obvias, creo), muy mucho como para evitar poner el proceso en sus manos tanto como sea posible. Un certificado de "nivel de organización" está fuera, porque "razones internas".

Básicamente, mi pregunta es si está disponible para comprar algún tipo de certificado de "CA organizativa" de un establecido, eso me permitirá generar y firmar certificados S / MIME, de modo que pueda implementar las especificaciones del Proyecto Directo sin los destinatarios " ¿Los clientes se preocupan por las certificaciones que no son de confianza o tienen que volver a la CA cada vez que un usuario se une o abandona la organización? He intentado verificar algunas de las CA que conozco, pero parecen estar principalmente dirigidas al certificado SSL del "usuario final con un sitio web", por lo que es posible que me falte algo. Sugerencias bienvenidas y apreciadas

Información adicional: para aquellas personas afortunadas que no están familiarizadas con él, el estándar de Proyecto Directo básicamente exige el certificado de cada usuario disponible a través de A DNS CERT RR y una consulta LDAP anónima accesible externamente, y un MTA con capacidad S / MIME que puede recuperar dicho certificado desde cualquier ubicación.

    
pregunta GeminiDomino 18.12.2013 - 18:02
fuente

2 respuestas

2

Algunas CA establecidas acordarán venderle un certificado de CA intermedio, pero a un costo bastante elevado. Hay varias fuerzas a la mano aquí:

  • Una "CA establecida" se "establece" en virtud de tener su clave raíz incluida en los navegadores y sistemas operativos habituales. El operador de CA podría lograrlo firmando un contrato pesado con Microsoft, en el cual prometió aplicar reglas muy estrictas al verificar la identidad de los propietarios de certificados. Cuando una CA emite un certificado de CA intermedio, delega su poder. Dicho sin rodeos, si compras un certificado de CA intermedio de una CA establecida, nada te impide técnicamente emitir un certificado falso para, por ejemplo, "gmail.com", que todos los navegadores web en la Tierra aceptarán como genuinos.

    Por lo tanto, los CA establecidos han prometido (con multas de millones de dólares) que si alguna vez entregan un certificado de CA intermedio a un tercero, lo harán solo dentro de un marco contractual pesado que permitiría una fuerte represalia legal , en caso de que ese tercero comience a emitir certificados sin el debido cuidado con respecto a la autenticación del usuario.

  • La CA establecida hace dinero vendiendo certificados. Ellos quieren mantenerlo así. Cuando compra un certificado de CA intermedio, es emitir los certificados de usuario final usted mismo y, por lo tanto, dejar de comprar dichos certificados de la CA establecida. Desde su punto de vista, se trata de negocios perdidos. Por lo tanto, lo recuperarán valorando el certificado de CA intermedio con bastante frecuencia.

Además, es demasiado fácil subestimar los costos de operar una CA. Una CA es 5% criptografía, 95% procedimientos. Los procedimientos significan personas, y papel, y tiempo. Eso es caro. El mantenimiento de su propia CA, ya sea una CA intermedia de alguna CA establecida externa o una CA raíz completa, no vale la pena por menos de, por ejemplo, mil certificados por emitir por año. La gente a menudo cree que una CA hecha en casa es solo una cuestión de escribir un par de scripts sobre OpenSSL; y están equivocados.

    
respondido por el Tom Leek 18.12.2013 - 19:55
fuente
0

VeriSign vende certificados de ID digital (S / MIME).

enlace

Si usted es una gran empresa y desea un aprovisionamiento automático más sencillo para los nuevos usuarios, Verisign ofrece opciones empresariales, pero debe comunicarse con ellos por teléfono.

    
respondido por el Rodney 18.12.2013 - 18:20
fuente

Lea otras preguntas en las etiquetas

En teoría, ¿pueden los certificados x509 usar esquemas de revocación basados en el acumulador? ¿Cómo funcionan estos esquemas? Carga de archivos no restringida - Posibles vulnerabilidades