Quais são os prós e os contras de criar uma autoridade de certificação interna (principalmente Windows 2003 CA)? Temos a necessidade de criptografar o tráfego servidor-servidor em um projeto que possui mais de 20 certificados. Poderíamos comprar materiais da Verisign, mas eu estava pensando que uma CA interna poderia ser uma solução melhor a longo prazo. Então, eu estava olhando para a comunidade para fornecer uma lista de prós / contras do que poderíamos ganhar (ou perder) hospedando nossa própria autoridade de certificação? Obrigado antecipadamente pela ajuda.
certificate-authority
Chade
fonte
fonte
Uma CA interna é válida apenas dentro de servidores que você possui e um certificado externo é bom em qualquer lugar. Essa é a resposta básica, mas há muito mais a considerar.
Prós
O custo por certificado é mais barato, quanto mais você gerar
Revogação - é muito fácil revogar um certificado que você gerou e você pode conceder curtos prazos de validade aos seus certificados
O acesso a certificados gratuitos geralmente significa maior uso - geralmente as pessoas começam a assinar seus e-mails e os administradores pensam em usar o isolamento de domínio e servidor em ambientes mistos
Contras
Requisitos de segurança adicionais - Esta máquina é possivelmente mais importante para proteger do que um controlador de domínio. Este sistema precisa ser completamente endurecido. Se você estiver usando esses certificados para algo significativo, precisará considerar as implicações se esses certificados forem comprometidos
Backup / alta disponibilidade - nada indica um fim de semana ruim, como o RH diz que sua autoridade de certificação agora morta deu a eles um certificado que eles usavam para criptografar os arquivos da folha de pagamento e agora não podem descriptografar os arquivos porque o certificado não pode ser validado. Verifique se o backup é feito com frequência e está altamente disponível
Responsabilidade - dependendo do que você deseja usar para alguns executivos de nível C, pode decidir que todo o dinheiro gasto com certificados da VeriSign é um desperdício, porque eles estão usando os certificados com precisão. Se seus certificados ficarem comprometidos e for um certificado VeriSign (e eu estou simplesmente usando a VeriSign como espaço reservado para qualquer autoridade de certificação de terceiros), é fácil mostrar que a culpa não é sua. Se você possui a CA ... bem, é possível que sua próxima experiência em TI esteja executando a caixa registradora computadorizada no restaurante de fast food de sua escolha.
Incapacidade de usar o certificado externo - não é impossível disponibilizar sua CA publicamente, ninguém confiará em um certificado da sua empresa. Embora isso não seja um grande problema, é um pouco mais caro manter duas tarefas de manutenção de certificados separadas (prazos de validade etc.). Você também pode considerar comprar um certificado raiz confiável
Ah, e se você precisar de certificados de EV - você está atualizando para o Windows 2008
Embora possa parecer que há mais desvantagens, muitas delas são apenas coisas que você deve estar ciente, em vez de um verdadeiro indicador negativo.
fonte
Para vários servidores internos, você pode criar certificados conforme necessário e instalá-los muito mais rapidamente do que usar uma CA externa. Você precisará de um pouco de experiência. Ferramentas como tinyca tornam fácil criar uma CA. Para servidores acessados publicamente, você desejará certificados de uma fonte externa.
Certificados para criptografar o tráfego geralmente são gerados de maneira interativa. Se você permitir apenas conexões da sua CA, não precisa se preocupar com o fato de alguém obter um certificado da CA externa e ingressar na sua rede. Nesse caso, as soluções de menor custo podem ser mais seguras.
fonte