Hay innumerables artículos prácticos y prácticas recomendadas que recomiendan el uso de una autoridad de certificado raíz (CA) fuera de línea. Aunque como sugiere el título, ¿esta recomendación es obsoleta?
El contexto de mi pregunta es para pequeñas y medianas empresas. NO grandes empresas (o de otro tipo) con múltiples niveles de CA subordinadas.
Revocar un certificado de CA raíz, como se comentó en publicaciones anteriores, es un proceso difícil. Solo se puede lograr a través de:
- actualizaciones de software
- scripts
- sistemas de gestión de configuración
- adhoc
La premisa de una entidad emisora raíz fuera de línea (metafóricamente hablando) es tenerla en una computadora portátil donde solo se pone en línea para aprobar una entidad emisora de certificados subordinada. De lo contrario, reside en la máxima seguridad física posible. Si una CA subordinada se ve comprometida, no se pierde todo ya que la CA raíz fuera de línea está bien. Sin embargo, la gran mayoría no incluye un punto de distribución de CRL (CDP) que hace imposible determinar qué certificados se han revocado. De este modo, la revocación de una CA subordinada inmediata es similar a la de una revocación de CA raíz. Nada se ganó al tener una CA raíz fuera de línea en primer lugar.
La alternativa es publicar un CDP que parece tener más sentido pero ya no permite que la CA raíz esté fuera de línea. Si el CDP se actualiza una vez al mes, el peor de los casos es que los clientes no identificarán un certificado revocado durante un mes entero. Mientras tanto, la administración de esto requiere que el personal arranque el sistema y actualice el CDP mensualmente. Al alargar esta ventana (+1 mes) solo se crea una ventana más grande donde los clientes confiarían en un certificado revocado, mientras que al acortar esta ventana deja claro que el sistema debe permanecer en línea debido a la sobrecarga administrativa.
Según esto, parece que las CA raíz raíz sin conexión solo deberían usarse en empresas muy grandes con múltiples niveles de CA subordinadas. Aunque estos son mínimos, ya que a menudo ya tienen una infraestructura de certificados y deben considerarse la excepción en la que se utilizan entidades de certificación raíz sin conexión. La mayoría de los nuevos lanzamientos se realizan en redes de tamaño pequeño a mediano, donde la CA raíz debe permanecer en línea para que pueda publicar con frecuencia en el CDP. De este modo, volviendo a mi pregunta, ¿está obsoleta la CA raíz fuera de línea?