Comments 8
Поясните для непонимающих, пожалуйста, как публика (вне компании) защищена от сертификатов от этого "частного PKI"?
Т.е. если кто-то выпустит частный сертификат для сайта tor.org, то есть два варианта:
- Все браузеры (которые доверяют globalsign) будут верить этому сертификату (perfect mitm)
- Все браузеры не будут верить — и тогда нужны специальные манипуляции с браузером, чтобы он начал верить. В этом случае чем это отличается от self-signed CA?
P.S. И да, в рамках большой компании IT отдел может преднастроить все используемые ОС (как минимум, основные операционки на рабочих компьютерах), чтобы добавить корневой сертификат компании в доверенные, так что сотрудникам вообще не нужно будет специальных манипуляций.
Я же специально сказал — self-signed CA, а не self-signed сертфикаты.
Нет никакой разницы — устанавливать (говоря "доверяю") корпоративный CA у которого самоподпись или устанавливать CA (говоря "доверяю") который пописан чужим CA, которому не доверяешь by-default?
… На самом деле вот что бы я реально хотел видеть — это возможность иметь автодоверительные (т.е. доверенные в браузерах) CA, у которых есть restriction по домену. Например, этот CA может выпускать любые сертификаты для поддоменов example.com. Автоматическое доверие, но только для поддоменов example.com.
Разница с wildcard в том, что компания может делать реальный CA, т.е. класть на фронт-энд сертификат front1.example.com, не рискуя при этом компрометацией critical.example.com.
Я не знаю, может ли такое быть сделано для intermediate CA в рамках текущих возможностей PKI или нет, но потребность в таком явно есть. Каждый раз, когда я звезду кладу на сервер, я понимаю, что я делаю что-то не так.
Удостоверяющий центр, это в первую очередь реализация требований законодательства к УЦ, а корневой сертификат можно особо не заморачиваясь выпустить в ИТ отделе в соответствии с внутренним регламентам компании.
И разница в стоимости между этими решениями даже не на порядок, а несколько порядков.
Зачем нужен собственный удостоверяющий центр