Dónde encontrar o comprar certificados sin SSL

Navega tus respuestas
1

Espero que este sea el intercambio de pila correcto. Si no, por favor avise.

En cuanto a la pregunta real: tenemos un sistema que hemos desarrollado que hace un uso intensivo de la criptografía asimétrica de varias maneras diferentes (RSA, autenticación de certificado de cliente y firmas digitales), y en nuestra configuración recomendada utiliza 8 certificados - 4 SSL certificados, 1 certificado de firma (para SAML), dos certificados de autenticación de cliente y un certificado RSA (para proteger claves simétricas). En nuestro entorno de desarrollo y prueba, hemos utilizado certificados autofirmados generados con la utilidad makecert.exe, pero Eso no es adecuado para la producción.

Lo que nos gustaría saber es: ¿puede adquirir y / o comprar ese tipo de certificados de una autoridad certificadora? ¿Hará algún certificado antiguo? Hasta ahora, solo hemos encontrado certificados SSL para la venta y hablar con el soporte de varios proveedores ha sido ... menos que útil.

También estamos considerando configurar una CA en el sitio (con el Servicio de certificados de Active Directory) para reducir la cantidad de certificados que se deben comprar, lo que lleva a la misma línea: ¿puede comprar / obtener un certificado adecuado? para usar como raíz para una CA local desde una CA ascendente? ¿Es básicamente un certificado SSL?

    
pregunta William Scalf 09.04.2014 - 21:32
fuente

2 respuestas

2

Un certificado es básicamente un enlace entre una identidad y una clave pública, pero hay detalles:

  • La noción de "identidad" que es más adecuada para su situación no es necesariamente la misma que la noción de identidad para un certificado de servidor SSL (es decir, un nombre DNS del servidor ...).
  • El ciclo de vida de la clave privada es importante: quién la genera, dónde se almacena, si hay copias de seguridad ...
  • El contenido del certificado puede activar o desactivar algunos usos, y es posible que desee cierto control sobre eso.

Si desea producir su propio certificado, entonces quiere operar su propia Autoridad de Certificación. Hay un buen software de código abierto para eso (por ejemplo, EJBCA ). Sin embargo, este curso de acción implica dos áreas principales de costos:

  1. Tienes que operar la CA. PKI es 5% de tecnología, 95% de procedimientos; tener el software está bien, pero ejecutarlo, administrar el acceso físico, renovar, auditar ... será lo que cueste más, con diferencia.

  2. Los certificados de su CA solo serán aceptados por sus máquinas si la clave pública de su CA está instalada en estas máquinas como una CA raíz, o si su CA ha sido emitida por otra CA que está instalada en sus máquinas como una raíz.

El uso de certificados de una "CA comercial" resuelve el segundo punto, pero a un alto costo. En particular, si desea tener su propia CA, debe estar marcada como un "certificado de CA" (que está escrito en Restricciones básicas extensión del certificado). Una CA comercial puede aceptar emitirle un certificado de CA, firmado por ellos mismos, pero será costoso (al menos miles de dólares); y requerirán que usted opere su propia CA dentro de las reglas estrictas (incluido el seguro, la publicación de una Declaración de Prácticas de Certificación detallada y legalmente vinculante, etc.).

Si solo desea producir certificados para sus propios usos, en los sistemas que usted controla, entonces tiene relativamente poco sentido confiar en una CA comercial: es mucho más fácil tener su propia raíz e instalarla en todos máquinas relevantes.

También es muy posible que su problema en cuestión no requiera verdaderos "certificados". Los certificados son una solución a un problema de distribución de claves : el punto de los certificados es que un sistema determinado puede obtener conocimiento de una clave pública y confianza en la identidad del propietario de la clave, de forma dinámica, en virtud de ver y validación de un certificado. Si, en su sistema, hay 8 claves en total y usted tiene control sobre todos los clientes y servidores, entonces es probable que no necesite certificados ; Solo quieres pares de llaves asimétricas. Las claves públicas se publican a priori (insertadas a través de la configuración o codificadas en el software relevante).

Para una compatibilidad fácil y barata con los protocolos existentes (por ejemplo, SSL), puede ser conveniente codificar las claves públicas como algo que se parece a "certificados"; tradicionalmente, estos certificados serán "autofirmados" porque hay un campo no opcional para una firma en el formato del certificado.

No hay nada intrínsecamente incorrecto con los certificados autofirmados si se asignan a su problema actual. No es necesario invocar una PKI si su situación no tiene un problema de distribución de claves.

    
respondido por el Tom Leek 10.04.2014 - 15:40
fuente
0

Para que sea breve y simple.

¿Hay una necesidad de confianza externa? Si lo que desea proteger es solo para uso interno, no hay necesidad de una CA externa como GoDaddy o Symantec.

Con un servicio de implementación, puede aprovisionar los nodos afectados con el certificado CA utilizado para crear confianza en la 'red'

    
respondido por el Neophyte 10.04.2014 - 15:46
fuente

Lea otras preguntas en las etiquetas

¿Esta vulnerabilidad XSS reflejada representa una amenaza real? Huellas dactilares de botnet