Está claro que los certificados digitales pueden ser una gran opción para sus proyectos de seguridad (por ejemplo, autenticación, firmas digitales, correo electrónico seguro), pero una vez que se haya decidido por una solución basada en certificados, también debe considerar si va a asociarse con una AC (Autoridad Certificadora) pública basada en la nube para emitir y gestionar los certificados, o si va a ejecutar sus propios servicios PKI internamente (a menudo utilizando una AC de Microsoft).
Hay pros y contras en cada escenario, pero con los avances en las ofertas de AC públicas y un panorama de PKI en constante evolución, algunas de las razones más populares para ejecutar su propia AC pueden no tener tanto peso como antes. Reconsideremos tres de las que escuchamos con más frecuencia.
"Es gratis..."
Esta es una de las razones más comunes que escuchamos - cuando encuestamos a un grupo de profesionales de TI, un enorme 70% de los encuestados citó esta razón como la principal para utilizar una AC de Microsoft- y se refiere al hecho de que los servicios de AC de Microsoft se incluyen con Windows Enterprise Server. Si bien es cierto que no hay que pagar por utilizar los servicios o los certificados que se emiten, decir que ejecutar una AC de Microsoft es "gratis" es simplificar demasiado las cosas y puede resultar engañoso.
Considere:
-
Los costos de personal interno para la gestión de la AC
-
Costos de hardware (sólo el módulo de seguridad de hardware necesario para almacenar las claves privadas y la raíz y de firma suele costar 20.000 dólares)
-
Acuerdo de nivel de servicio interno (y posiblemente externo) tanto para la emisión de certificados como para la gestión del ciclo de vida de los mismos y los servicios de validación (por ejemplo, actualización de CRL, mantenimiento de CRL y ejecución de servicios OCSP).
-
¿Se aplican las mejores prácticas de la AC a la seguridad, la política y la auditoría de su AC?
"Pero necesito conectarme a Active Directory..."
Para las organizaciones que operan en un entorno Windows, poder aprovechar la información de la plantilla de certificados ya incluida en los servicios de certificados de Microsoft, puede hacer que la ejecución de una AC de Microsoft sea extremadamente atractiva. Dado que el Directorio Activo y los servicios de certificados de Microsoft están conectados, puede registrar y suministrar certificados sin problemas a todos los objetos conectados al dominio basándose en las políticas de grupo. La inscripción automática y la instalación silenciosa facilitan el proceso de implementación de certificados tanto para los administradores de TI como para los usuarios finales. No se pueden negar las ventajas de la integración con el Directorio Activo, pero pensar que esto sólo se puede conseguir con una AC de Microsoft ya no es el caso.
Considere:
-
La mayoría de las AC públicas ofrecen ahora una integración con el Directorio Activo que consigue esta misma funcionalidad, pero utilizando su propio proxy en el Directorio Activo en lugar del de Microsoft
"Sólo utilizo mis certificados para fines internos...."
Una de las principales razones para asociarse con una AC pública es que son precisamente eso: públicas. Las AC públicas trabajan con diligencia para garantizar que sus raíces estén integradas en los navegadores y aplicaciones más recientes, por lo que cualquier certificado emitido desde las raíces es automáticamente de confianza. El beneficio de esto es obvio para casos de uso como SSL para sitios web públicos o la firma de documentos, pero ¿qué pasa si sólo quiere certificados para su red privada? ¿O sólo necesita habilitar S/MIME para las comunicaciones internas? En esos casos, la confianza pública no es realmente necesaria.
Hay muchas razones para trabajar con una AC pública auditada de confianza web más allá de la naturaleza pública de la raíz. Considere:
-
¿Cómo va a proteger su material de clave raíz?
-
¿Cómo va a mantenerse al día con las siempre cambiantes mejores prácticas de PKI y mantener el cumplimiento interno? Más de la mitad de los encuestados en nuestro estudio informaron de que no querían gestionar esta carga ellos mismos.
-
La mayoría de las AC públicas ofrecen opciones de certificados rentables para fines internos.
Como he dicho, hay algunas razones por las que puede querer gestionar su propia AC, sin embargo, si está basando su elección en una de las mencionadas anteriormente, puede que quiera reconsiderar su postura. Contáctenos hoy mismo para más información.
