GlobalSign_admin Aug 5 2019 at 10:50

Зачем нужен собственный удостоверяющий центр

5 min

11K

GlobalSign corporate blogInformation Security*Website development*Development for IOT*

+13

Comments 8

amarao Aug 5 2019 at 11:29

Поясните для непонимающих, пожалуйста, как публика (вне компании) защищена от сертификатов от этого "частного PKI"?

Т.е. если кто-то выпустит частный сертификат для сайта tor.org, то есть два варианта:

Все браузеры (которые доверяют globalsign) будут верить этому сертификату (perfect mitm)
Все браузеры не будут верить — и тогда нужны специальные манипуляции с браузером, чтобы он начал верить. В этом случае чем это отличается от self-signed CA?

TheGodfather Aug 5 2019 at 11:35

Если случай (2), то отличается тем, что в рамках большой компании с огромным количеством таких «почти-self-signed» сертификатов (читай: внутренний интранет) можно настроить браузер, чтобы доверять корню компании. И будет некая уверенность, что maintainer сервиса получил нормальный сертификат по политикам компании, а не просто self-signed.

P.S. И да, в рамках большой компании IT отдел может преднастроить все используемые ОС (как минимум, основные операционки на рабочих компьютерах), чтобы добавить корневой сертификат компании в доверенные, так что сотрудникам вообще не нужно будет специальных манипуляций.

amarao Aug 5 2019 at 11:54

Я же специально сказал — self-signed CA, а не self-signed сертфикаты.

Нет никакой разницы — устанавливать (говоря "доверяю") корпоративный CA у которого самоподпись или устанавливать CA (говоря "доверяю") который пописан чужим CA, которому не доверяешь by-default?

… На самом деле вот что бы я реально хотел видеть — это возможность иметь автодоверительные (т.е. доверенные в браузерах) CA, у которых есть restriction по домену. Например, этот CA может выпускать любые сертификаты для поддоменов example.com. Автоматическое доверие, но только для поддоменов example.com.

Разница с wildcard в том, что компания может делать реальный CA, т.е. класть на фронт-энд сертификат front1.example.com, не рискуя при этом компрометацией critical.example.com.

Я не знаю, может ли такое быть сделано для intermediate CA в рамках текущих возможностей PKI или нет, но потребность в таком явно есть. Каждый раз, когда я звезду кладу на сервер, я понимаю, что я делаю что-то не так.

rsashka Aug 5 2019 at 11:47

А не кажется, что понятия «удостоверяющий центр» и корневой сертификат для компании (читай: внутренний интранет), это понятия совершенно разного масштаба и соответственно разной стоимости?
Удостоверяющий центр, это в первую очередь реализация требований законодательства к УЦ, а корневой сертификат можно особо не заморачиваясь выпустить в ИТ отделе в соответствии с внутренним регламентам компании.
И разница в стоимости между этими решениями даже не на порядок, а несколько порядков.

KonstantinSpb Aug 5 2019 at 11:54

опен-сорсные системы в качестве примера забыли привести, например www.ejbca.org

ky0 Aug 5 2019 at 12:58

Без порядка цен и принципа ценообразования пост чуть более, чем маркетингов.

GlobalSign_admin Aug 6 2019 at 11:18

Расчёт стоимости обслуживания подчинённого УЦ зависит от типа сертификатов а также от числа сертификатов, которые вы планируете выпускать в год.
Для получения более подробной информации Вы можете связаться с менеджерами: sales-ru@globalsign.com

UFO just landed and posted this here