El principal inconveniente de emitir su propio certificado raíz es que tendrá que instalarlo en cada navegador y sistema operativo de su organización. Dependiendo de la cantidad de computadoras con las que estés tratando y de qué tipo de computadoras son, eso podría ser un montón de trabajo. (Los dispositivos IoT pueden no tener una buena manera de actualizar sus certificados raíz de confianza, por ejemplo). Además, tenga en cuenta que la instalación de un certificado raíz de confianza en una máquina significa que la máquina está expuesta durante el proceso de instalación. una vulnerabilidad para que se instale un certificado fraudulento.
Según el modelo de uso y las políticas de seguridad, es posible que también tenga que proporcionar una forma para que los usuarios que traigan sus propios dispositivos (BYOD) descarguen e instalen el certificado en sus máquinas.
Otro inconveniente de crear uno propio es la complejidad del mantenimiento. Sólo es bastante fácil crear un nuevo certificado con openssl, pero debe planificar por adelantado para asegurar la clave privada, hacer una copia de seguridad y guardar todas las copias fuera de línea, etc. Mantener las copias en un lugar seguro durante 20 años puede ser bastante difícil. un desafío (¿todavía tendría una forma de recuperar una imagen de un disquete de 20 años hoy? En 20 años, ¿todavía tendrá una manera de leer un CD-ROM de 20 años?) También necesita para documentar esto completamente, de modo que dentro de 20 años a partir de la fecha de caducidad de este certificado raíz, el próximo administrador de CA sabrá cómo hacer girar un nuevo certificado, protegerlo y distribuirlo. En 19 años, ¿quién notificará a la administración que su antigua CA raíz caducará?
Los expertos en PKI son escasos, por lo que encontrar uno cuando lo necesite puede ser un desafío para una organización más pequeña. Es posible que deba contratar a un consultor costoso para ayudarlo a configurarlo de manera segura.
También querrás proporcionar un servidor OCSP, o al menos alojar una CRL en algún lugar (aunque lo necesitarás de todos modos).
Las ventajas de firmar con el certificado público es que el certificado público ya está integrado en todos los navegadores comerciales y de código abierto. La principal desventaja es el costo: es probable que las CA comerciales le cobren una prima por un certificado con autoridad CSA.
Otra ventaja del certificado público es que sus certificados funcionarán fuera de su organización. No tendrá que distribuir su certificado raíz interno a sus proveedores y socios, quienes no querrán instalar su certificado porque tendrán pocas razones para confiar en que su PKI es segura. Por supuesto, puede solucionar esto incluso con una PKI privada simplemente comprando algunos certificados firmados externamente para las máquinas a las que se conectan sus socios.
En definitiva, construir su propio PKI lo deja totalmente a cargo de su destino, lo que puede ser algo bueno. Solo asegúrese de que sea lo suficientemente bueno como para estar seguro, porque estará lidiando con la seguridad de la infraestructura informática de toda su organización durante los próximos 20 años. No lo diseñes solo y asegúrate de obtener la aprobación de nivel ejecutivo en cualquier decisión que tomes.