¿Distribuir certificados CA de PKI privados con SSL CA públicos? ¿Cualquier punto?

1

Descargo de responsabilidad. Ni siquiera estoy seguro de si la pregunta está redactada correctamente en el título. Tampoco estoy seguro de si estoy haciendo la pregunta correcta. Si hay literatura relevante para este tema, sería muy apreciada.

Estoy buscando en la bóveda de hashicorp para facilitar la firma / autenticación de certificados, etc. Una cosa que me molesta es asegurar la distribución y el certificado de CA raíz.

Básicamente, Vault se debe proteger mediante SSL. Si la clave privada de la CA de Internet se ve comprometida, no tiene sentido usar Vault (o cualquier proceso PKI que dependa de la CA de Internet) si el atacante decide MITM y cambia el certificado distribuido.

Supongo que la pregunta es:

¿Hay algún punto o ganancia significativa en la configuración de una PKI privada que dependa de la PKI pública para la firma / distribución?

    
pregunta Sleeper Smith 15.12.2016 - 23:37
fuente

1 respuesta

1

El principal inconveniente de emitir su propio certificado raíz es que tendrá que instalarlo en cada navegador y sistema operativo de su organización. Dependiendo de la cantidad de computadoras con las que estés tratando y de qué tipo de computadoras son, eso podría ser un montón de trabajo. (Los dispositivos IoT pueden no tener una buena manera de actualizar sus certificados raíz de confianza, por ejemplo). Además, tenga en cuenta que la instalación de un certificado raíz de confianza en una máquina significa que la máquina está expuesta durante el proceso de instalación. una vulnerabilidad para que se instale un certificado fraudulento.

Según el modelo de uso y las políticas de seguridad, es posible que también tenga que proporcionar una forma para que los usuarios que traigan sus propios dispositivos (BYOD) descarguen e instalen el certificado en sus máquinas.

Otro inconveniente de crear uno propio es la complejidad del mantenimiento. Sólo es bastante fácil crear un nuevo certificado con openssl, pero debe planificar por adelantado para asegurar la clave privada, hacer una copia de seguridad y guardar todas las copias fuera de línea, etc. Mantener las copias en un lugar seguro durante 20 años puede ser bastante difícil. un desafío (¿todavía tendría una forma de recuperar una imagen de un disquete de 20 años hoy? En 20 años, ¿todavía tendrá una manera de leer un CD-ROM de 20 años?) También necesita para documentar esto completamente, de modo que dentro de 20 años a partir de la fecha de caducidad de este certificado raíz, el próximo administrador de CA sabrá cómo hacer girar un nuevo certificado, protegerlo y distribuirlo. En 19 años, ¿quién notificará a la administración que su antigua CA raíz caducará?

Los expertos en PKI son escasos, por lo que encontrar uno cuando lo necesite puede ser un desafío para una organización más pequeña. Es posible que deba contratar a un consultor costoso para ayudarlo a configurarlo de manera segura.

También querrás proporcionar un servidor OCSP, o al menos alojar una CRL en algún lugar (aunque lo necesitarás de todos modos).

Las ventajas de firmar con el certificado público es que el certificado público ya está integrado en todos los navegadores comerciales y de código abierto. La principal desventaja es el costo: es probable que las CA comerciales le cobren una prima por un certificado con autoridad CSA.

Otra ventaja del certificado público es que sus certificados funcionarán fuera de su organización. No tendrá que distribuir su certificado raíz interno a sus proveedores y socios, quienes no querrán instalar su certificado porque tendrán pocas razones para confiar en que su PKI es segura. Por supuesto, puede solucionar esto incluso con una PKI privada simplemente comprando algunos certificados firmados externamente para las máquinas a las que se conectan sus socios.

En definitiva, construir su propio PKI lo deja totalmente a cargo de su destino, lo que puede ser algo bueno. Solo asegúrese de que sea lo suficientemente bueno como para estar seguro, porque estará lidiando con la seguridad de la infraestructura informática de toda su organización durante los próximos 20 años. No lo diseñes solo y asegúrate de obtener la aprobación de nivel ejecutivo en cualquier decisión que tomes.

    
respondido por el John Deters 16.12.2016 - 01:31
fuente

Lea otras preguntas en las etiquetas