Leí un artículo interesante sobre algo llamado autocsr para certificados SSL. Después de leer todavía no pude entender cómo funciona. ¿No ocurre la generación de RSE en mi caja? La CA no tendrá acceso a mi caja. ¿Es realmente seguro como proclama? gracias
AutoCSR rompe con el principio de que la clave privada debe generarse en la máquina donde se usará, y nunca dejar esa máquina. Genera el par de claves públicas / privadas en una máquina de la CA, le transfiere la clave privada a través de Internet en forma cifrada junto con el certificado, y la borra en la máquina donde se creó.
Por un lado, esto reduce la seguridad. En lugar de controlar la clave privada usted mismo, debe confiar en los procedimientos y las medidas de seguridad de la AC para garantizar que la generación de la clave se realice de forma segura, realmente no hay rastros de su clave secreta en ningún lugar de sus sistemas, y la clave no se revela a o manipulado por un tercero malicioso en tránsito.
Por otro lado, puede aumentar la seguridad. La generación segura de un par de claves públicas / privadas requiere cierta experiencia. Ha habido incidentes de claves débiles, así como servicios que no ofrecen cifrado en absoluto porque el desafío de configurarlo era demasiado grande para ellos, lo que podría haberse evitado mediante el uso de un servicio como AutoCSR.
En resumen, si tiene la experiencia y el equipo disponibles para hacerlo correctamente, la creación del par de claves en la máquina de destino definitivamente será más segura. Si no, es una compensación entre las capacidades de su organización y su confianza en la CA para hacerlo bien.
Lea otras preguntas en las etiquetas tls certificate-authority