Определение того, внутренний или внешний центр сертификации больше подходит для вашей компании

Если ваши требования к сетевой безопасности заставляют вас нуждаться в одном или нескольких сертификатах, то одно из наиболее важных решений, которое вам придется принять, — это где получить сертификат. Вы можете приобрести сертификаты у одного из сторонних центров сертификации, таких как VeriSign или Thawte, или вы можете создать свой собственный центр сертификации и выдавать сертификаты собственного производства. Оба имеют свои преимущества и недостатки.

Когда дело доходит до выбора центра сертификации, первое, на что люди обычно обращают внимание, — это стоимость. Цены варьируются в зависимости от поставщика, и они варьируются в зависимости от типа сертификата, который вам нужен, но нередко приходится платить сотни долларов за один сертификат от стороннего центра сертификации. С другой стороны, если у вас есть собственный центр сертификации, вы можете бесплатно выдать столько сертификатов, сколько захотите. Это, безусловно, делает идею создания собственного центра сертификации поначалу более привлекательной, особенно если вам нужно развернуть большое количество сертификатов.

Если вы действительно не собираетесь выпускать много сертификатов, я не рекомендую принимать решение, основываясь исключительно на стоимости. Есть много других факторов, которые следует учитывать, но даже если эти факторы (которые я объясню позже) не важны для вас, создание собственного центра сертификации сопряжено с довольно высокими затратами. Для начала вам понадобится оборудование для запуска центра сертификации. Вам также потребуется лицензия Windows Server 2003 и соответствующие лицензии клиентского доступа. Кроме того, вы должны учитывать стоимость обслуживания центра сертификации.

В прошлом я знал людей, которые решили просто запустить службы, связанные с центром сертификации, на существующем сервере Windows 2003. Комбинирование действительно экономит затраты. Если вы не выпускаете чрезмерное количество сертификатов, то почти глупо выделять целый сервер для такой черной задачи.

Хотя обычно я выступаю за экономию денег, особенно если это не снижает производительности, в этой ситуации мне приходится встать на сторону тех, кто тратит большие деньги. Если вы собираетесь запустить свой собственный центр сертификации, вам действительно следует запускать его на выделенном сервере, даже если большая часть мощности сервера никогда не используется.

Причина этого в том, что хотя службы центра сертификации представляют собой просто набор служб, работающих под управлением Windows Server 2003, сервер центра сертификации не похож ни на один другой сервер во всей вашей сети. Во-первых, у него совершенно уникальные требования к безопасности. Подумайте об этом на минуту. Вы основываете безопасность своей организации на одном или нескольких цифровых сертификатах. Если эти сертификаты скомпрометированы, то общая безопасность вашей организации будет скомпрометирована. Например, представьте, что ваша компания использует сервер IIS для запуска корпоративного веб-сайта электронной коммерции. Такому серверу потребуется сертификат, чтобы иметь возможность выполнять шифрование SSL, необходимое для защиты транзакций по кредитным картам. Если кому-то удалось взломать ваш сервер сертификатов и украсть копию этого сертификата, то они могут настроить свой собственный сервер и убедительно подделать личность вашего сервера. Они также могли расшифровать шифрование SSL, чтобы украсть номера кредитных карт клиентов.

Дело в том, что если вы решите настроить свой собственный центр сертификации, вам необходимо максимально защитить сервер. Сервер, который выполняет двойную работу, выполняя какое-то другое приложение наряду со службами центра сертификации, никогда не будет таким безопасным, как выделенный сервер.

Другая особенность сервера центра сертификации заключается в том, что вы должны особенно усердно работать, чтобы защитить его от потери данных. Представьте на мгновение, что пользователь в вашей сети запрашивает сертификат у центра сертификации, а затем использует этот сертификат для шифрования некоторых файлов, хранящихся на одном из ваших файловых серверов. Теперь предположим, что произошла авария, произошла потеря данных и сертификат исчез. Файлы по-прежнему зашифрованы, но сертификат, необходимый для расшифровки файлов, утерян. Без сертификата зашифрованные файлы бесполезны.

Я понимаю, что это очень упрощенный пример использования ключей шифрования, но суть не в этом. Дело в том, что если на вашем сервере сертификатов произошел сбой жесткого диска, и у вас нет самой актуальной резервной копии, у вас могут возникнуть серьезные проблемы.

Я не пытаюсь отговорить вас от развертывания собственного центра сертификации. Я сам запускаю свой собственный центр сертификации. Я просто пытаюсь донести до вас тот факт, что если вы развернете свой собственный центр сертификации, вам нужно будет проявлять особую осторожность, когда речь идет о его защите, защите и резервном копировании. Совет, который я обычно даю людям, рассматривающим возможность развертывания центра сертификации, заключается в том, чтобы относиться к своему центру сертификации так же, как к ядерной боеголовке; защитить его любой ценой.

Итак, я много говорил о настройке собственного центра сертификации, но как насчет использования сертификатов, выпущенных сторонним центром сертификации? Я упомянул, что они могут быть дорогими, но даже в этом случае есть как минимум две веские причины для их использования.

Первая причина – ответственность. Давайте представим, что кто-то взломал ваш центр сертификации, украл сертификат и использовал этот сертификат для доступа к вашей базе данных клиентов. Затем они взяли все номера кредитных карт ваших клиентов и отправились за покупками. Излишне говорить, что если бы это произошло, у вас были бы действительно расстроенные клиенты, которые никогда больше не будут иметь с вами дело, и юристы, вероятно, съели бы вас заживо.

Звучит не очень приятно, не так ли? Теперь давайте представим, что произошло то же самое, но на этот раз вместо того, чтобы использовать собственный центр сертификации, вы купили сертификат у стороннего центра сертификации. Я не юрист, и я понятия не имею, будет ли ваша компания нести за что-либо ответственность или нет в этой ситуации, но дело в том, что вы не виноваты в том, что сертификат был скомпрометирован. Ответственность за защиту сертификата лежит на центре сертификации.

Другой убедительной причиной для использования внешних центров сертификации является доверие. Хорошим примером этого является то, что я недавно купил доменное имя poker-run-boats.com. В конечном итоге я намерен создать веб-сайт, на котором будут продаваться детали для лодок с высокими эксплуатационными характеристиками. Естественно, если я продаю что-то через Интернет, мне понадобится SSL-сертификат. У меня есть собственный центр сертификации, который вполне способен выдать сертификат для этого веб-сайта, но, возможно, это не самая лучшая идея.

Когда многие люди делают покупки в интернет-магазине, которым они никогда раньше не пользовались, они хотят убедиться, что сайт является законным и безопасным. Если кто-то попытается разместить заказ на нагнетатель и увидит, что сертификат сайта был выдан brienposey.com, это, вероятно, вызовет некоторые вопросы. Я довольно хорошо известен в мире информационных технологий, но большинство энтузиастов скоростных лодок никогда обо мне не слышали (пока). Новый клиент, делающий покупки на моем сайте, вероятно, будет чувствовать себя намного лучше в отношении целостности сайта, если сертификат сайта будет выпущен VeriSign или каким-либо другим авторитетным центром сертификации, о котором они слышали и которому доверяют.

Вывод

Когда дело доходит до принятия решения о создании собственного центра сертификации или приобретении сторонних сертификатов, зачастую нет однозначного ответа, что лучше. Вместо этого вам нужно взвесить стоимость, потенциальную ответственность и возможность катастрофы при принятии решения.