¿Cuáles son los problemas con la creación de una CA propia para la intranet?

Question

¿Cuáles son los problemas con la creación de una CA propia para la intranet?

#1 de marumari (16 votos)

11

En los comentarios a Creando mi propia CA para una intranet varias personas desaconsejan crear su propia CA para una intranet.

Especialmente:

no lo hagas. No Mala idea. Compre certificados firmados por $ 10 CA en su lugar. No seas tu propio CA. No. No. Mala idea: KristoferA

Pero también:

eco "Abandona toda esperanza, vosotros que entras aquí". - Tom Leek

¿Por qué debería uno confiar más en una CA arbitraria que vende certificados por $ 10 que en el propio departamento de TI de la compañía?

(Incluso me inclino a confiar en los certificados firmados por proveedores o clientes ^{1, 2} más de lo que confiaría en los certificados firmados por las CA raíz comunes).

¿Mantener el servidor de CA seguro el problema?
¿Es la distribución e instalación de certificados raíz el problema?
¿El problema es el RA y / o la distribución de las CRL actualizadas?
¿Está restringiendo quién o qué recibe un certificado y quién o qué firma un certificado es un problema?
¿Algún otro problema? (Quizás mi conocimiento limitado, y el conocimiento limitado de otros profesionales de TI en general, sobre todos los aspectos esenciales para una CA segura. Por eso, KristoferA , Tom Leek , y otros aconsejan enérgicamente en contra de las "CA caseras".

Probablemente un CA profesional tendrá más experiencia en las primeras tres áreas y podrían hacerlo mejor que cualquier "presumido" que cree su propio CA. Pero aún así, el factor de confianza viene a la mente especialmente para la última parte.

^{1.) Dado que mi empresa tiene una relación a largo plazo con estos proveedores y clientes.}

^{2.) Restringido a certificados sobre sus propios servidores y empleados.}

certificates certificate-authority

pregunta Kasper van den Berg 16.05.2015 - 16:06

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates certificate-authority

¿Por qué Chrome y Firefox reportan un certificado y emisor de servidor diferente al de OpenSSL? prueba de seguridad para desarrolladores

score 16 · Accepted Answer

No hay nada de malo en ejecutar su propia autoridad de certificación interna; la gran mayoría de las grandes empresas con las que he interactuado tienen su propia CA interna.

Adventages

El costo nominal de un certificado llega a ser casi cero cuando se amortiza sobre sistemas y usuarios suficientes; cuando compre certificados de una CA externa, esto nunca será el caso.
Puede ser mucho más fácil administrar la caducidad y renovación del certificado, ya que puede asignar la propiedad a un grupo interno, en lugar de a un solo usuario que lo solicitó.
Puede hacer todo tipo de cosas interesantes que son muy difíciles o caras de hacer con CA externas, como crear certificados de comodín para subdominios, como * .test.company.com, o crear certificados no válidos extraños con fines de prueba (SHA -1 2017, RSA de 512 bits, etc.)

Desventajas

Ejecutar una CA es realmente difícil. Para su propia CA interna, obviamente no necesita tener el nivel de controles de seguridad de una CA real, pero sigue siendo bastante complejo.
Las personas que son capaces de crear y administrar una CA no son baratas; al menos en los Estados Unidos, puede esperar que las personas con un gran conocimiento de criptografía y / o PKI estén haciendo seis cifras.
No solo es suficiente para tener una CA, también es necesario crear sistemas a su alrededor. Sitios web / API para solicitar certificados y gestionar revocaciones, sistemas de notificación de renovación de certificados, paquetes de instalación para eliminar certificados raíz, etc. Usted puede comprar un paquete de software que gestione mucho de esto por usted, pero ciertamente tampoco es gratuito. li>

Para compañías suficientemente grandes, se convierte en un punto de inflexión en el que el costo de comprar todos estos certificados externos y la pérdida de flexibilidad que conlleva se convierte en un problema lo suficientemente importante como para crear su propia CA.

De lo contrario, estoy de acuerdo con aquellos que lo advirtieron contra esto: para la gran mayoría de las pequeñas y medianas empresas, simplemente no es económico administrar su propia AC; Tiene mucho más sentido simplemente tratar con una compañía que se especializa en el tema. Incluso mil certificados a $ 10 por año es un robo en comparación con el costo de establecer una CA interna bien administrada.

Summary

No se trata de confianza, se trata de costos.