Já está claro que os certificados digitais podem ser uma ótima opção para seus projetos de segurança (por exemplo, autenticação, assinaturas digitais, e-mail seguro), mas uma vez que você decidiu por uma solução baseada em certificado, você também precisa considerar se fará parceria com uma AC pública baseada em nuvem para emitir e gerenciar os certificados ou se você irá executar seus próprios serviços de PKI internamente (geralmente usando uma AC da Microsoft).
Existem prós e contras em cada cenário, mas com os avanços nas ofertas públicas de AC e um cenário de PKI em constante evolução, alguns dos motivos mais populares para executar sua própria AC podem não ter tanto peso quanto antes. Vamos reconsiderar três dos motivos que ouvimos com mais frequência.
É GRATUITO
Este é um dos motivos mais comuns que ouvimos - quando pesquisamos um grupo de profissionais de TI, impressionantes 70% dos entrevistados citaram este como o principal motivo para usar uma AC da Microsoft - e referem-se ao fato de que os serviços de AC da Microsoft estão incluídos com Windows Enterprise Server. Embora seja verdade que não há uma taxa para usar os serviços ou os certificados que você emite, dizer que executar uma CA da Microsoft é "grátis" é uma simplificação excessiva e pode ser enganoso.
Considerar:
- Custos de pessoal interno para a gestão da CA
- Custos de hardware (o módulo de segurança de hardware necessário para armazenar sua raiz e as chaves privadas de assinatura normalmente custam $ 20K)
- SLA interno (e possivelmente externo) para emissão de certificado, mas também gerenciamento de ciclo de vida de certificado e serviços de validação (por exemplo, atualização de CRLs, manutenção de CRLs e execução de serviços OCSP)
- As práticas recomendadas da AC estão sendo aplicadas à segurança, política e auditoria de sua AC?
"Mas eu preciso me conectar ao Diretório Ativo ..."
Para organizações que operam em ambiente Windows, a capacidade de aproveitar as informações do modelo de certificado já incluídas nos serviços de certificado da Microsoft pode tornar a execução de uma CA da Microsoft extremamente atraente. Como o AD e os Serviços de Certificados Microsoft estão conectados, você pode registrar e provisionar certificados para todos os objetos conectados ao domínio com base em políticas de grupo. A inscrição automática e a instalação silenciosa tornam o processo de implantação do certificado fácil para administradores de TI e usuários finais. Não há como negar os benefícios da integração com o AD, mas pensar que isso só pode ser alcançado com uma CA da Microsoft não é mais o caso.
Considerar:
- A GlobalSign, CA públicas, oferece uma integração com o Diretório Ativo que atinge essa mesma funcionalidade, mas usando seu próprio proxy no AD em vez do da Microsoft
"Estou usando meus certificados apenas para fins internos ..."
Um dos maiores motivos para fazer parceria com uma AC pública é que ela é são - pública. A GlobalSign trabalha diligentemente para garantir que suas raízes sejam incorporadas aos navegadores e aplicativos mais recentes, de forma que quaisquer certificados emitidos a partir das nossas raízes sejam automaticamente confiáveis. O benefício disso é óbvio para casos de uso como SSL para sites públicos ou assinatura de documentos, mas e se você quiser apenas certificados para sua rede privada? Ou só precisa habilitar S / MIME para comunicações internas? Nesses casos, a confiança pública não é realmente necessária.
Há muitos motivos para trabalhar com uma autoridade de certificação pública auditada de confiança da web, além da natureza pública da raiz.
Considerar:
- Como você vai proteger sua chave raiz?
- Como você vai acompanhar as práticas recomendadas de PKI em constante mudança e manter a conformidade interna?
Mais da metade dos entrevistados em nossa pesquisa relataram que não queriam gerenciar esse fardo sozinhos.
- A maioria das ACs públicas oferece opções de certificado econômicas para fins internos.
Como eu disse, há alguns motivos pelos quais você ainda pode querer executar seu próprio CA; no entanto, se estiver baseando sua escolha em um dos listados acima, você deveria reconsiderar sua posição.
