Koszt uzyskania zaufania do wewnętrznego urzędu certyfikacji

12

Moja firma ma wewnętrzny urząd certyfikacji, który jest obecnie samopodpisany. Ponieważ chcemy zacząć używać go do zewnętrznego SSL i bezpiecznych wiadomości e-mail do naszych klientów, musimy mu zaufać.

Czy ktoś ma ballpark, ile kosztuje uzyskanie zaufanego certyfikatu głównego dla wewnętrznej infrastruktury PKI? 4 cyfry? 5 cyfr? 6 cyfr? Zatrudniamy od 2000 do 3000.

James Jones
źródło

Odpowiedzi:

10

Jeśli dobrze pamiętam, na początku cytowano nam około 150 000, a potem 75 000 rocznie.

Zypher
źródło
Wow ... To poważna moneta. Wiesz, dlaczego to kosztuje tyle?
James Jones
Ma to na celu podpisanie certyfikatu głównego urzędu certyfikacji przez dobrze znany organ (przeczytany, któremu ufają już prawie wszyscy). Nie mam pojęcia, ile kosztowałoby wejście do zaufanych sklepów głównych dostawcy. Istnieje pewne BARDZO wytrzymałe bezpieczeństwo, które wiąże się z posiadaniem zaufanego roota, i to jest większość kosztów, po drugie, jest to, jak sądzę, bariera wejścia. Kosztem jest wiedza z drugiej ręki, że nie brałem udziału w ustalaniu cen, ale moi przyjaciele gdzie.
Zypher
Wygląda jak coroczne audyty bezpieczeństwa z takich miejsc - webtrust.org ... Domyślam się, że to nie jedyny obręcz, który wymaga przeskoczenia.
Kara Marfia,
1
Czy ten rodzaj kosztów instalacji nie pozwala wydawać certyfikatów innym organizacjom? OP wydaje się pytać o wydawanie certyfikatów pod domeną, którą już posiada i dla której już posiada certyfikat. Z pewnością nie musisz konfigurować jako pełnego głównego urzędu certyfikacji, jeśli chcesz wydawać certyfikaty dla poddomen we własnej domenie?
Chris Thorpe,
1
@Chris nie ... potrzebujesz w pełni wydanego urzędu certyfikacji do wydawania certyfikatów, część łańcuchowa pojawia się, gdy zaufany urząd certyfikacji podpisuje certyfikat urzędu certyfikacji. Zniweczyłoby to cel certyfikatów, gdybyś mógł zdobyć tylko jeden certyfikat, a następnie mieć zaufanie do każdego podpisanego dokumentu. Podpisanie certyfikatów urzędu certyfikacji to wielka sprawa.
Zypher
3

Aby dowiedzieć się, jak rzeczywiście zaufać certyfikatowi głównemu, spójrz na trwający proces CAcert . Był to dość skomplikowany proces wieloletni (i nie są jeszcze zakończone), ale ponieważ jest to otwarta organizacja, wszystkie szczegóły tego procesu znajdują się na ich stronie internetowej.

Bardziej prawdopodobne jest uzyskanie podrzędnego urzędu certyfikacji pod jednym z głównych korzeni. Nie pamiętam, który z nich był odręczny, ale przynajmniej jeden z nich miał kiedyś opcję hostowania podrzędnego urzędu certyfikacji (IIRC wisc.edu robi to z Equifax / Geotrust). Myślę, że bieżące koszty były na niskim poziomie 5 rocznie plus kilka dolarów za certyfikat (koszty startowe nie są wliczone). Nie mam pod ręką linków, ale kilka szkół poszło tą drogą i opublikowało szczegółowe informacje techniczne na swoich stronach internetowych lub w prezentacjach na konferencjach. Praca z pamięci i mojej pamięci podręcznej certyfikatów, wisc.edu, lsu.edu i tmc.edu wyglądają jak dobre miejsca do rozpoczęcia.

Jeremy M.
źródło
Jeremy, liczby, o których wspomniałem, wskazują, że w przypadku podrzędnego urzędu certyfikacji twoje 5 niskich liczb byłoby odpowiednich do kontynuowania, ponieważ MASYWNE koszty początkowe.
Zypher
Tak, powinienem wspomnieć, że to roczny koszt. Dzięki za przypomnienie.
Jeremy M