Costo della fiducia dell'autorità di certificazione interna

12

La mia azienda ha un'autorità di certificazione interna attualmente autofirmata. Dal momento che vogliamo iniziare a usarlo per SSL esterno e proteggere la posta elettronica per i nostri clienti, dobbiamo fidarci.

Qualcuno ha un ballpark su quanto costa ottenere un certificato radice attendibile per un PKI interno? 4 cifre? 5 cifre? 6 cifre? Impieghiamo tra 2000-3000.

email  ssl  ssl-certificate  certificate  certificate-authority 
James Jones
fonte

Risposte:

9

Se ricordo bene, ci sono stati citati qualcosa come 150k per iniziare poi 75k all'anno quando abbiamo esaminato questo.

Zypher
fonte
Wow .. Quella è una moneta seria. Qualche idea sul perché costa così tanto?
James Jones,
E questo è solo per far firmare il certificato di root della tua CA da un'autorità ben nota (leggi già attendibile da quasi tutti). Non ho idea di quanto costerebbe entrare nei negozi root attendibili del fornitore. C'è un po 'di sicurezza MOLTO pesante che ha una radice attendibile, e questo è la maggior parte dei costi, in secondo luogo è una barriera all'entrata sarebbe la mia ipotesi. Il costo è la conoscenza di seconda mano che non ero coinvolto nel prezzo, ma i miei amici dove.
Zypher,
Sembra che i controlli di sicurezza annuali da luoghi come questo - webtrust.org ... Immagino che non sia l'unico cerchio che deve passare.
Kara Marfia,
1
Questo tipo di installazione non comporta costi per consentire il rilascio di certificati ad altre organizzazioni? Sembra che il PO stia chiedendo di emettere certificati sotto un dominio di cui già possiede e per cui possiede già un certificato. Sicuramente non è necessario configurare come CA radice completa se si desidera semplicemente emettere certificati per sottodomini nel proprio dominio?
Chris Thorpe,
1
@Chris no ... hai bisogno di una CA in piena regola per emettere certificati, la parte incatenata arriva quando una CA fidata firma il certificato della tua CA. Negherebbe lo scopo dei certificati se si potesse ottenere solo un certificato e quindi averlo e qualsiasi cosa firmata fosse attendibile da chiunque. Far firmare i certificati della tua CA è un grosso problema.
Zypher,
3

Per avere un'idea di come ottenere effettivamente un certificato radice attendibile, dai un'occhiata al processo in corso di CAcert . È stato un processo pluriennale piuttosto complesso (e non lo hanno fatto), ma essendo un'organizzazione aperta tutti i dettagli del processo si trovano sul loro sito web.

Un'opzione più probabile è quella di ottenere una CA subordinata sotto una delle grandi radici. Non ricordo quale sbrigativo, ma almeno uno aveva un'opzione qualche tempo fa per loro che ospitavano la CA subordinata (IIRC wisc.edu lo fa con Equifax / Geotrust). Penso che il costo in corso fosse nelle basse 5 cifre all'anno più qualche dollaro per certificato (costi di avvio non inclusi). Non ho collegamenti utili, ma diverse scuole hanno fatto questo e hanno pubblicato i dettagli tecnici sui loro siti web o nelle presentazioni tenute durante le conferenze. Lavorando dalla memoria e dalla mia cache di certificati, wisc.edu, lsu.edu e tmc.edu sembrano buoni punti di partenza.

Jeremy M
fonte
Jeremy, i numeri che ho citato dove per una CA subordinata, quindi le tue 5 cifre basse sarebbero giuste per essere in corso, ci sono MASSIVE spese di avvio.
Zypher,
Sì, avrei dovuto menzionare che è il costo annuale. Grazie per il promemoria.
Jeremy M,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.