jueves, 10 de marzo de 2016

3 Razones para tener una CA interna que debe reconsiderar

Es claro que los certificados digitales pueden ser una buena opción para sus proyectos de seguridad (e.g.,authentication, firmas digitales, correo electrónico seguro), pero una vez que has decidido en una solución basada en certificados, también necesita considerar ser socio de una CA pública. Basandose en la nube podrá emitir y administrar los certificados o si vas a ejecutar sus propios servicios PKI internos.

Hay pros y contras para cada escenario, pero con avances en ofertas públicas de CA yun paisaje PKI en constante evolución, algunas de las razones más populares paracorrer tu propia CA no pueden tener tanto peso como antes. Vamos a considerar tres de lo que escuchamos más a menudo.

ES GRATIS! Esta es una de las razones más comunes que escuchamos - cuando encuestó a un grupo de profesionales, un 70% de los encuestados citó esto como la razón principalpara utilizar un Microsoft CA - y se refiere al hecho de que los servicios de CA de Microsoft estan incluidos con Windows Server Enterprise. Aunque es cierto que no hay una cuota para el uso de los servicios o los certificados que emite, para decir que ejecutaun Microsoft CA es materia de simplificar en exceso y puede ser engañosa.


  • Costos internos para la administración del CA.
  • Costos de hardware (el módulo de seguridad de hardware necesario para guardar laraíz y las claves privadas firmantes solo típicamente cuesta $20K).
  • SLA interno (y posiblemente externo) por tanto emisión de certificados, sino tambiéndel ciclo de vida gestión y validación de servicios de certificado (por ejemploactualizar CRL, mantener listas CRL y ejecutar servicios OCSP).


Para las organizaciones que operan un entorno de Windows, pudiendo aprovechar la información de plantilla de certificados ya incluida en los servicios de Microsoft certificate, puedes ejecutar un Microsoft CA extremadamente atractiva. AD y servicios de Microsoft Certificate Server están conectados, sin problemas puede registrarse y proporcionar los certificados a todos los objetos dominio conectado basados en directivas de grupo. La inscripción automática y la instalación silenciosa facilita el proceso de implementación de certificado para los administradores y usuarios finales por igual. Es innegable los beneficios de la integración con AD, pero pensar que esto sólo se logra con una CA de Microsoft simplemente ya no es el caso.

Tenga en cuenta:

Las CA publicas ahora ofrecen una integración de Active Directory que logra esta misma funcionalidad, pero usando su propio proxy en AD en lugar de Microsoft.
Una de las razones más grandes con una CA pública es que son sólo eso público. CAs trabajan diligentemente para asegurar que sus raíces se reconocen en los navegadores más recientes y las aplicaciones, por lo que cualquier certificados emitidos de las raíces son automáticamente de confianza. El beneficio de esto es obvio para los casos de uso como SSL para sitios web públicos o firma del documento, pero ¿qué pasa si desea certificados para red privada? ¿O sólo es necesario habilitar S/MIME para comunicaciones internas? En esos casos, la confianza pública no es realmente necesaria.


No hay comentarios.:

Publicar un comentario

Populares