Власний центр сертфікаціі управління SSL Code Sign PDF IoT Email сертифікатами PKI Public Key Infrastructure купити PKI Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Власний центр сертифікації для забезпечення безпеки вашого підприємства на основі DigiCert PKI

Участь PKI в Цифровій трансформації компанії

Інфраструктура відкритого ключа DigiCert PKI

Інфраструктура відкритого ключа є основою реалізації шифрування більшості організацій. Добре побудований PKI може виконувати цілий ряд обов'язків для вашої організації, від аутентифікації і шифрування до забезпечення цілісності файлів і електронної пошти. Але PKI є складною штучкою, існує ряд поширених помилок управління сертифікатами PKI, які можуть зробити будь-яка компанія або організація. Особливо якщо компанія використовує штатних "широкомасштабних" фахівців, і не має можливості найняти "вузького" фахівця для створення і управління його PKI. І навіть коли організації можуть дозволити собі найняти фахівця (або навіть групу з них), немає ніякої гарантії, що їх підхід буде правильним. Зрештою, PKI постійно розвивається, і, якщо ви не залишаєтеся на передньому краї, ви в кінцевому підсумку зробите деякі досить кричущі помилки управління сертифікатами PKI.

Інфраструктура відкритого ключа або PKI здається складною концепцією, яку неможливо зрозуміти з "наскоку", але як тільки ви вдумайтеся в ідею, розкладете по поличках, виявиться, що все має глибокий сенс. Спрощено PKI складається з двох речей: цифрових сертифікатів і приватних ключів, або іншими словами - парами відкритих / закритих ключів.

В основі PKI лежать Кореневі сертифікати. Ці цифрові сертифікати користуються загальною довірою, їх копії зберігаються в кореневому сховищі комп'ютерної системи кожного користувача. Кореневі центри сертифікації, тобто центри сертифікації, які володіють одним з цих надійних коренів, можуть випускати сертифікати з цих коренів. Це і є Клієнтські сертифікати - їх випускає щасливий володар "корінців", використовуючи закритий ключ (Свого кореня) для цифрового підпису вашого запиту на сертифікат (запиту CSR), який після цього вже називається сертифікат;)

Це теорія ... Насправді, загроза витоку кореня настільки серйозна, що ЦС розгортає Проміжні коріння або їх ще називають chain, intermediate, cross сертифікати. Проміжний корінь підписується довіреним коренем, який надає йому довірений статус, незважаючи на те, що він не є частиною кореневого сховища користувача. Після цього ЦС приступає до випуску клієнтських сертифікатів, використовуючи закритий ключ проміжного кореня для підпису сертифіката кінцевого користувача. Його (ЦС) спокій пояснюється з тим, що тепер, якщо не дай Бог станеться витік приватного ключа кореневого сертифіката, він просто відкличе проміжний сертифікат і при цьому збиток буде мінімальним. Природно Центр Сертифікації може мати безліч проміжних сертифікатів та використовувати їх для різних цілей, наприклад для випуску сертифікатів різного класу (DV, OV, EV) або для передачі іншій компанії або дочірнього Центру Сертифікації як наприклад GeoTrust і його дочка RapidSSL

Поки клієнтський сертифікат може бути прив'язаний до довіреного кореня, йому буде довіряти клієнтський додаток. В контексті SSL / TLS, при правильному розгортанні PKI, будь-який клієнт може використовувати загальнодоступний ключ для аутентифікаціїкінцевої точки, з якою він пов'язаний, і безпечно відправляти йому симетричний ключ сеансу для використання.

Створення ієрархії PKI має на увазі

Доводиться зважувати потреби в безпеці проти витрат на продуктивність, а також враховувати будь-які нормативні вимоги або вимоги відповідності, перш ніж приймати остаточне рішення.

Один з найбільших ризиків в будь-який CA-системі - це власний закритий ключ. Як його захистити? Потрібна надійна обчислювальна система з фізичними засобами контролю доступу, захистом TEMPEST, захистом мережі «повітряна стіна» і іншими захистами. При зберіганні секретного ключа на звичайному комп'ютері, він піддається атакам вірусів і інших шкідливих програм. Навіть якщо ваш приватний ключ надійно зберігається в вашому комп'ютері, який знаходиться в закритій кімнаті з відеоспостереженням - ви впевнені, що ніхто крім Вас не має до нього доступу? Якщо він захищений паролем, наскільки складно вгадати цей пароль? Якщо ваш ключ зберігається на смарт-карті, наскільки стійкою до атак є карта? Якщо він зберігається в дійсно стійкому до атаки пристрої, чи може заражений комп'ютер керувати надійним пристроєм, щоб підписати те, що ви не збиралися підписувати?

Зберігання ключів в електронній таблиці, на флеш-накопичувачі, на звичайному жорсткому диску або навіть десь в Інтернеті, який віддалено доступний, помилкове рішення, і може привести до краху - Ви повинні використовувати HSM.

Автоматизація - це майже необхідність, коли ви досягаєте певного розміру/ Як і в будь-якій формі автоматизації, автоматизація аспектів вашої PKI підвищує ефективність і знижує ймовірність людських помилок. Автоматизація допомагає з оновленням сертифікатів і ключів. Вона також може відстежувати і зберігати дані, що відносяться до ваших сертифікатах і ключів, наприклад: Скільки сертифікатів було випущено ?, Для чого потрібні ці сертифікати ?, Скільки ключів у нас зараз ?, Хто їх запросив ?, Хто має доступ до них? і так далі.

Ви повинні мати можливість бачити всі видані вами сертифікати, кому вони були видані, коли вони закінчуються - вам необхідний повний облік сертифікатів. Це дійсно єдиний спосіб захиститися від шахрайських сертифікатів.

Іноді навіть експертам потрібні експерти;) Краще використовувати професіональне рішення від DigiCert, щоб застосувати правильну реалізацію PKI - ту, яка встановлює масштаб і підтримує довгострокову життєздатність сертифікатів, ніж намагатися зробити все це самостійно. Це в кінцевому підсумку в довгостроковій перспективі буде коштувати вам дорожче.