Una persona ha escuchado que las empresas a menudo emiten un certificado propio para su uso interno. No está firmado por ninguna CA pública. Y él dice que es un estándar de la empresa. No pude encontrar ninguna prueba de ello en Internet y, por lo tanto, esta es mi pregunta: ¿es realmente un estándar de empresa y cuáles son los beneficios de tener dichos certificados? Solo pude encontrar inconvenientes.
Un certificado autofirmado se considera un certificado firmado por la clave dentro del propio certificado. Esto no es común para instalaciones más grandes (es decir, compañías) porque no se escala, es decir, debería tener excepciones o identificación de certificado para cada certificado emitido.
Lo que probablemente quiso decir es que una empresa tiene su propia estructura PKI con su propia CA raíz interna y la usa para firmar sus propios certificados. En este caso, es suficiente que cada sistema solo confíe en la CA raíz de la compañía para verificar cada certificado emitido por la compañía. Esta configuración es realmente muy común en las empresas más grandes porque se escala bien. Pero incluso si estos certificados están firmados por la empresa ellos mismos , no se denominan certificados autofirmados, porque esta frase ya tiene un significado diferente.
Primero, un estándar es un conjunto de acciones o reglas que una organización puede establecer que generalmente admiten una política, como una Política de seguridad de la información.
La forma en que se usan los certificados autofirmados en una empresa se puede dictar en un estándar pero no hay ningún estándar de la industria que yo sepa que se refiera a los certificados autofirmados. En cambio, hay mejores prácticas que generalmente se pueden seguir, pero que podrían no ser las "mejores" para algunas organizaciones. En otras palabras, si hay un Estándar Empresarial en el uso de certificados autofirmados, se aplicaría a la empresa que escribió el estándar.
Me referí a ISO 27002 y no encontré nada específico acerca de los certificados autofirmados.
Si estamos hablando de certificados autofirmados en un servidor web de producción, empresa o Internet, que requiere HTTPS, un certificado autofirmado probablemente sea una mala elección. Si estamos hablando del mismo servidor que está en el entorno de prueba de un desarrollador, es probable que esté bien.
Los certificados autofirmados se generan en muchos escenarios dentro de una LAN empresarial, pero a menos que sea un servidor web orientado a Internet, por lo general están bien.
En las estructuras PKI jerárquicas, los certificados raíz están autofirmados por definición. En la empresa, puede tener su propia raíz de empresa instalada en el (los) almacén (es) de confianza de todos los dispositivos de la empresa, y será tan buena como cualquier otra ancla de confianza, entonces.
El principal beneficio de tener su propia PKI es que puede limitar sus servicios para aceptar la cadena de certificados solo de su propia CA (ya sea raíz o intermediario dedicado), y ninguna tercera parte podrá forjarla fácilmente (vea MCS Holdings caso, este año) - como el HPKP, pero sin problema TOFU;).
Otra cosa importante es que para los servicios a los que no se puede acceder desde fuera (por ejemplo, un host en un dominio que solo existe en su red interna), simplemente tiene que usar su propia PKI, porque la CA pública no podrá realizar validación.
Cuando ejecute PKI interna, tampoco tendrá que pagar por cada certificado de host único. Una solución alternativa de la CA pública es usar certificados comodín para varios hosts (no es realmente seguro, una violación y todos los hosts están comprometidos), o pagar por cada certificado de host único.
Lo importante, sin embargo, es que la PKI interna de la empresa debe ser administrada adecuadamente y estrictamente controlada, de acuerdo con los estándares como CA / Browser Política de Certificación de Requisitos de Línea Base del Foro para la Emisión y Gestión de Certificados de Confianza Pública y / o Política de certificados de CA de Mozilla . Probablemente también aprenderá RFC 5280 y RFC 6960 en el proceso.
El principal inconveniente que puedo ver es que su CA raíz no será confiada por terceros, y ese es el único caso cuando realmente necesita un certificado emitido por una CA pública - servicios que deben ser accesibles en Internet.
Un certificado le proporciona (en general) algunas cosas:
Un certificado autofirmado cumplirá correctamente la primera necesidad (cifrado). No será mejor ni peor que un certificado proporcionado por una PKI.
Dado que este es un certificado autofirmado, no tiene ningún medio para garantizar que sea de confianza (todos los servidores pueden tener uno). Esto puede o no ser un problema para usted. Si es así, debe estar firmado por un tercero en el que ambos confíen (en resumen, la Autoridad de Certificación, CA). Esta CA puede ser interna a la empresa o externa. Lo que se debe garantizar es que se conozca de los clientes (los navegadores en el caso anterior). Este es el caso de las principales CA comerciales y debe configurarse específicamente para los navegadores que utilizan una PKI interna.
Lea otras preguntas en las etiquetas tls