¿Qué es SCEP?
El Protocolo simple de inscripción de certificados es un protocolo de inscripción de certificados definido originalmente por Cisco en el borrador de Internet IETF 2011 draft-nourse-scep , y más recientemente en el borrador de Internet IETF 2018 draft-gutmann-scep de la Universidad de Auckland.
¿Qué es EST?
Inscripción en transporte seguro (EST) es un protocolo de inscripción de certificados definido por Cisco, Akayla y Aruba Networks en RFC 7030 . Se puede pensar en la EST como una evolución del SCEP. Cisco proporciona una buena guía para entender la EST , que se gira para favorecer la EST.
SCEP vs EST
Similitudes
Ambos protocolos son muy similares en que el cliente envía CMS (también conocido como PKCS # 7 ) y CSR (también conocido como PKCS # 10 ) mensajes a la Autoridad de Certificación, firmados con un certificado preexistente para inscribirse en un nuevo certificado con el certificado CA.
Ambos admiten los siguientes métodos para que el cliente demuestre su identidad a la CA (aunque los detalles exactos difieren):
- Los mensajes CMS / CSR firmados con un certificado de cliente emitido previamente (por ejemplo, un
Certificado emitido por la CA). Esto es típico de una renovación de certificado.
- Los mensajes CMS / CSR firmados con un certificado previamente instalado en el que la CA se ha configurado para confiar (por ejemplo, fabricante)
certificado instalado o un certificado emitido por algún otro
partido). Esto es típico de los dispositivos IoT, dispositivos móviles, etc., que tienen un certificado inyectado durante la fabricación, y donde la CA se ha configurado para confiar en la CA de fabricación.
- Un secreto compartido que se ha distribuido al cliente fuera de banda.
Diferencias
La principal diferencia entre ellos es que EST utiliza TLS estándar como la capa de seguridad de transporte, lo que requiere que se proporcionen los certificados anteriores para la autenticación de cliente TLS además de firmar los mensajes de CMS y CSR.
En SCEP, el método de autenticación de secreto compartido se realiza mediante la inclusión del secreto en challengePassword en el campo de la CSR, y crear un certificado autofirmado desechable para firmar el mensaje de CMS con.
Dado que EST utiliza TLS estándar, tiene dos métodos para inscribirse usando un secreto compartido:
-
TLS solo para el servidor con nombre de usuario / contraseña básica HTTP, donde el nombre de usuario y la contraseña son el secreto compartido distribuido fuera de banda.
-
TLS de autenticación mutua mediante un conjunto de cifrado de clave precompartida (PSK). El efecto colateral es que esto permite que el cliente autentique a la CA sin necesidad de saber de antemano de qué CA va a obtener un certificado (es decir, no es necesario distribuir el certificado de CA raíz por adelantado).
Resumen
Ambos son protocolos aceptables para la inscripción automatizada de certificados con una PKI y ofrecen características de seguridad similares.
Las ventajas de EST son que subcontrata la seguridad de su capa de transporte a TLS estándar, y por lo tanto continuará recogiendo mejoras de seguridad y rendimiento a medida que se lanzan nuevas versiones de TLS. Esto también puede ser un inconveniente para los dispositivos restringidos que no desean dedicar espacio de código a una implementación TLS.