Как стать автором
Обновить

Комментарии 8

Поясните для непонимающих, пожалуйста, как публика (вне компании) защищена от сертификатов от этого "частного PKI"?


Т.е. если кто-то выпустит частный сертификат для сайта tor.org, то есть два варианта:


  1. Все браузеры (которые доверяют globalsign) будут верить этому сертификату (perfect mitm)
  2. Все браузеры не будут верить — и тогда нужны специальные манипуляции с браузером, чтобы он начал верить. В этом случае чем это отличается от self-signed CA?
Если случай (2), то отличается тем, что в рамках большой компании с огромным количеством таких «почти-self-signed» сертификатов (читай: внутренний интранет) можно настроить браузер, чтобы доверять корню компании. И будет некая уверенность, что maintainer сервиса получил нормальный сертификат по политикам компании, а не просто self-signed.

P.S. И да, в рамках большой компании IT отдел может преднастроить все используемые ОС (как минимум, основные операционки на рабочих компьютерах), чтобы добавить корневой сертификат компании в доверенные, так что сотрудникам вообще не нужно будет специальных манипуляций.

Я же специально сказал — self-signed CA, а не self-signed сертфикаты.


Нет никакой разницы — устанавливать (говоря "доверяю") корпоративный CA у которого самоподпись или устанавливать CA (говоря "доверяю") который пописан чужим CA, которому не доверяешь by-default?


… На самом деле вот что бы я реально хотел видеть — это возможность иметь автодоверительные (т.е. доверенные в браузерах) CA, у которых есть restriction по домену. Например, этот CA может выпускать любые сертификаты для поддоменов example.com. Автоматическое доверие, но только для поддоменов example.com.


Разница с wildcard в том, что компания может делать реальный CA, т.е. класть на фронт-энд сертификат front1.example.com, не рискуя при этом компрометацией critical.example.com.


Я не знаю, может ли такое быть сделано для intermediate CA в рамках текущих возможностей PKI или нет, но потребность в таком явно есть. Каждый раз, когда я звезду кладу на сервер, я понимаю, что я делаю что-то не так.

А не кажется, что понятия «удостоверяющий центр» и корневой сертификат для компании (читай: внутренний интранет), это понятия совершенно разного масштаба и соответственно разной стоимости?
Удостоверяющий центр, это в первую очередь реализация требований законодательства к УЦ, а корневой сертификат можно особо не заморачиваясь выпустить в ИТ отделе в соответствии с внутренним регламентам компании.
И разница в стоимости между этими решениями даже не на порядок, а несколько порядков.
опен-сорсные системы в качестве примера забыли привести, например www.ejbca.org
Без порядка цен и принципа ценообразования пост чуть более, чем маркетингов.
Расчёт стоимости обслуживания подчинённого УЦ зависит от типа сертификатов а также от числа сертификатов, которые вы планируете выпускать в год.
Для получения более подробной информации Вы можете связаться с менеджерами: sales-ru@globalsign.com
НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.