¿Contra qué protege tener una PKI interna de dos niveles?

11

Hay una gran cantidad de documentos de Mejores Prácticas que recomiendan tener una CA Raíz fuera de línea y una CA Subordinada Empresarial firmada por la raíz, para una infraestructura interna de Servicios de Certificación de Microsoft AD.

No entiendo por qué se recomienda tener una raíz sin conexión aquí. En caso de que su CA subordinada se vea comprometida, volverá a emitir todo en su dominio, ya que lo único que firmó su raíz sin conexión es el certificado de firma del subordinado. No entiendo qué valor tiene una raíz fuera de línea que se agrega a esta ecuación.

¿Qué se puede ganar con este enfoque de dos niveles en este tipo de situación?

    
pregunta MDMarra 09.04.2013 - 21:31
fuente

2 respuestas

5

No estoy seguro de la implementación particular en Active Directory, pero en general la firma X.509 permite una recuperación mucho más fácil de un compromiso.

Se supone que una CA en línea es mucho más vulnerable que una sin conexión. Entonces, digamos que su CA en línea está comprometida y que su clave privada es potencialmente copiada.

Usted revoca el certificado de CA. Siga adelante y genere un nuevo par de llaves, un certificado, etc., ahora tiene una nueva CA en línea.

Su próximo paso depende de si tiene una CA fuera de línea o no:

  • Si tiene una CA fuera de línea, usa su CA fuera de línea para firmar su nuevo certificado de CA en línea. Bastante fácil. También es más seguro, ya que es bastante fácil que probablemente lo hagas.

  • Si no tiene una CA fuera de línea, instale su nuevo certificado de CA raíz en todos y cada uno de los equipos, teléfonos, tabletas, ... (En realidad, no lo hace: configura una CA fuera de línea y la instala en su lugar. ¡Porque aprendió a no repetir este error!) Menos seguro, porque hará todo lo posible para evitar este trabajo. ("¿Estamos realmente seguros de que la clave privada fue robada?")

Finalmente, usted firma nuevos certificados para los servidores e los instala (posiblemente incluyendo la cadena CA).

Entonces, en resumen, si tiene una CA fuera de línea, solo tiene que volver a emitir los certificados para la autenticación (por lo general, solo el servidor). Si no lo hace, no solo haga eso, también puede instalar su nueva CA raíz en todas partes.

    
respondido por el derobert 16.04.2013 - 23:22
fuente
4

Tengo entendido que permite una respuesta mucho más rápida en caso de que la CA en línea se vea comprometida. Se puede publicar una CRL actualizada para invalidar la CA intermedia sin que todos los sistemas tengan que estar en la red en ese momento.

Estoy seguro de que hay más valor que eso, pero esta es mi motivación.

    
respondido por el Tim Brigham 09.04.2013 - 21:37
fuente

Lea otras preguntas en las etiquetas