Het is duidelijk dat digitale certificaten een goede optie kunnen zijn voor uw beveiligingsprojecten (bijv. authenticatie, digitale handtekeningen, beveiligde e-mail), maar als u eenmaal voor een op certificaten gebaseerde oplossing hebt gekozen moet u ook overwegen of u met een openbare, cloud-gebaseerde CA gaat samenwerken om de certificaten uit te geven en te beheren, of dat u uw eigen PKI-services in eigen beheer gaat uitvoeren (vaak met behulp van een Microsoft CA).
Er zijn voor- en nadelen aan elk scenario, maar met de vooruitgang in het openbare CA-aanbod en een voortdurend evoluerend PKI-landschap zijn sommige van de populairste redenen voor het runnen van uw eigen CA niet zo belangrijk meer als vroeger. Laten we de drie, welke we het vaakst horen, opnieuw overwegen.
“Het is gratis...”
Dit is één van de meest voorkomende redenen die we horen - toen we een groep IT-professionals ondervroegen, noemde maar liefst 70% van de respondenten dit als de belangrijkste reden voor het gebruik van een Microsoft CA - en dit verwijst naar het feit dat Microsoft CA Services deel uitmaken van Windows Enterprise Server. Hoewel het waar is dat er geen kosten worden berekend voor het gebruik van de services of de certificaten die u uitgeeft, is zeggen dat het "gratis" om een Microsoft CA te gebruiken eenvoudig, te kort door de bocht is en kan het misleidend zijn.
Denk hierbij aan:
- Interne personeelskosten van het beheer van de CA
- Hardwarekosten (alleen de hardwarebeveiligingsmodule die nodig is om uw root op te slaan en privésleutels te ondertekenen, kost doorgaans $ 20.000)
- Interne (en mogelijk externe) SLA voor zowel uitgifte van certificaten, als ook het levensduurbeheer van certificaten en valideringsdiensten (bijv. het bijwerken van CRL's, bewaren van CRL's en het uitvoeren van OCSP-services)
- Worden de beste methoden voor CA toegepast op de beveiliging, het beleid en de controle van uw CA?
"Maar ik moet verbinding maken met Active Directory ..."
Voor organisaties die een Windows-omgeving gebruiken kan het in staat zijn om de informatie over certificaat-templates die al in de Microsoft Certificate Services is opgenomen te gebruiken het uitvoeren van een Microsoft CA buitengewoon aantrekkelijk maken. Aangezien AD en Microsoft Certificate Services gekoppeld zijn, kunt u naadloos certificaten registreren en distribueren naar alle domein-gebonden objecten op basis van groepsbeleid. Automatische inschrijving en stille installatie maken het implementatieproces van certificaten eenvoudig voor IT-beheerders en eindgebruikers. De voordelen van integratie met AD kunnen niet worden ontkend, maar denken dat dit alleen kan worden bereikt met een Microsoft CA is gewoon niet meer het geval.
Denk hierbij aan:
- De meeste openbare CA's bieden nu een Active Directory-integratie aan die dezelfde functionaliteit bereikt, maar hun eigen proxy in AD gebruikt in plaats van die van Microsoft.
"Ik gebruik mijn certificaten alleen voor interne doeleinden ..."
Een van de grootste redenen om samen te werken met een openbare CA is dat ze dat juist zijn - openbaar. Openbare CA's werken ijverig om ervoor te zorgen dat hun roots zijn ingebed in de nieuwste browsers en applicaties, zodat alle certificaten die zijn uitgegeven vanaf de roots automatisch betrouwbaar zijn. Het voordeel hiervan voor het gebruik is duidelijk in gevallen zoals SSL voor openbare websites, of de ondertekening van documenten, maar wat als u alleen certificaten voor uw privé-netwerk wilt? Of u alleen S/MIME dient in te schakelen voor interne communicatie? In die gevallen is het publieke vertrouwen niet echt noodzakelijk.
Er zijn veel redenen om met een door een web trust gecontroleerde openbare CA te werken die verder gaat dan het publieke karakter van de root. Denk hierbij aan:
- Hoe gaat u uw belangrijke root-materiaal beschermen?
- Hoe blijft u bij met de steeds veranderende beste PKI-methoden en het handhaven van de interne naleving? Meer dan de helft van de respondenten in onze enquète hebben gemeld dat zij deze verplichting niet zelf wilden beheren.
- De meeste openbare CA's bieden efficiënte opties voor certificaten voor interne doeleinden.
Zoals ik al zei, zijn er enkele redenen waarom u misschien nog steeds uw eigen CA wilt uitvoeren, maar als u uw keuze op een van de hierboven genoemde factoren baseert, wilt u uw standpunt misschien heroverwegen.