Jump to content
Sign in to follow this  
viper990

Zertifikate - Gedankenstöße

Recommended Posts

Hallo zusammen,

 

wir wollen für ca. 50 User Zertifikate einsetzen, um u.a. Emails intern zu versschlüsseln, VPN über ISA und OWA abzusichern.

Ich hab schon eine Menge gelesen, u.a das Best Practice (im letzten Thread ist ein Link)

Ich bin mir trotzdem noch unschlüssig ob es in unserem Unternehmen Sinn macht ist eine Ca Hirarchie einzuführen oder ob eine einzelne ent. Ca nicht doch reicht.

Sicherheit hin oder her => die Praxis sieht eh anders aus.

 

Wie stellt Ihr den bei einer Offline CA die CRT in regelmäßigen Abständen zur Verfügung? Per Hand oder über ein Script?

Wird man das regelmäßig durchführen? Ist das Praktikabel?

 

Oder ist der Sicherheit nicht genüge getan mit der eh regelmäßig durchgeführten Sicherung der Ca.

Wenn irgendwas nicht stimmt, kann diese doch mit einem Handgriff zurückgesichert werden!

 

Was mich auch noch entscheidend interessiert:

Kann bei einer offline RootCa & zwei ent. CA´s eine ent. Ca ausfallen,

ohne die Zertifkatsoprüfung zu beeinträchtigen?

 

Würd gerne mal eure Meinung / Erfahrung hören (lesen).

 

GRuß

ViPeR

Share this post


Link to post
Share on other sites

Guten Abend,

 

Ich bin mir trotzdem noch unschlüssig ob es in unserem Unternehmen Sinn macht ist eine Ca Hirarchie einzuführen oder ob eine einzelne ent. Ca nicht doch reicht.

Sicherheit hin oder her => die Praxis sieht eh anders aus.

 

Ja - und weil es in der Praxis häufig anders aussieht, fliegen auch viele Betreiber einer internen CA irgendwann auf die Nase. ;)

 

Du hast sicherlich Recht - gerade in kleineren Umgebungen wirkt es oftmals überdimensioniert eine mehrstufige Hierarchie aufzubauen. Letztlich wirkt sich jedoch das Thema grundlegend auf die Sicherheit aus. Ist die Root-CA kompromittiert, kannst Du alle Zertifikate und damit verbundene Dienste vergessen. Das muß man halt schlichtweg auf dem Schirm haben, wenn man sich für ein Design entscheidet. Niemand sagt, daß Du es so machen mußt... :)

 

Wie stellt Ihr den bei einer Offline CA die CRT in regelmäßigen Abständen zur Verfügung? Per Hand oder über ein Script?

Wird man das regelmäßig durchführen? Ist das Praktikabel?

 

Wenn Du in einer mehrstufigen Hierarchie CAs Offline betreibst, mußt Du die CRLs in den von Dir festgelegten Intervallen veröffentlichen. Je nachdem, wie Dein Ansatz ist (ob komplett offline im Safe liegend oder nur vom Netzwerk getrennt ;) ) in Bezug auf die Sicherung der offline CAs lautet, sieht dann auch Dein Veröffentlichungskonzept aus. Im "sicheren" Beispiel, nämlich der "Safe-Variante", mußt Du die CA in den festgelegten Zeitintervallen reaktivieren und die CRLs austellen. Diese überträgst Du dann im besten Fall nicht über das Netzwerk, sondern über ein sicheres, externes Medium in Deine Gesamtstruktur - so z.B. als Import in Deine AD oder als Verteilungspunkt per HTTP usw.

 

Oder ist der Sicherheit nicht genüge getan mit der eh regelmäßig durchgeführten Sicherung der Ca.

Wenn irgendwas nicht stimmt, kann diese doch mit einem Handgriff zurückgesichert werden!

 

Nein, eben nicht. Zwar sicherst Du die CA als solche zurück - nur kannst Du Dir nicht sicher sein, ob in der Zwischenzeit bei einem Angriff nicht schon AIA, CRLs usw. manipuliert wurden. Auch ist für Dich kaum feststellbar, ob nicht Zertifikate ausgestellt wurden, die nun von den Angreifern genutzt werden können. Rundum kannst Du Dir also über nichts mehr sicher sein - das genaue Gegenteil von dem, was eine CA Struktur erreichen soll, nämlich Vertrauenswürdigkeit.

 

In dem Fall, daß Deine Root-CA tatsächlich zum Opfer geworden ist, gibt es kein zurück mehr...

 

Was mich auch noch entscheidend interessiert:

Kann bei einer offline RootCa & zwei ent. CA´s eine ent. Ca ausfallen,

ohne die Zertifkatsoprüfung zu beeinträchtigen?

 

Grundsätzlich schon; das hängt ein wenig davon ab, ob diese CA dann

 

a) irgendwann wieder online geht - geht die CA nicht mehr online, bekommst Du spätestens nach Ablauf der CRL-Veröffentlichungsintervalle Probleme

 

b) die AIA und CRLs / Delta CRLs auch weiterhin verfügbar sind (z.B. im lokalen Store der Clients, veröffentlicht im AD, per HTTP o.ä.) - ist dies nicht der Fall, können die Anwendungen unter Umständen die Zertifikatskette nicht mehr verifizieren...

 

Du merkst - es gibt eine Menge "wenn und aber" in einer Antwort. Wie genau Du es einrichten willst, hängt von Deinem Plan ab. Hier kann man schlichtweg nur Best-Practices zitieren und Dir ggf. zu konkreten Fragen Antworten geben.

 

Gruß olc

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...