Firmando una CA propia
En estos días me di a la tarea de averiguar la posibilidad de firmar nuestra CA (Certificate Authority). Por si no tienen fresco el tema de certificados digitales, pueden releer el artículo Certificados Digitales que publiqué hace casi un año.

Una autoridad certificante, conocida por sus iniciales CA, es una entidad que firma certificados digitales. Recuerden que un certificado no vale de nada si no está firmado por una CA de confianza. Existe una lista de CAs consideradas de confianza e incluidas en la mayoría de los browsers u otro software que trabaje con certificados. Hay CAs comerciales que cobran por firmar certificados y otras CAs que lo hacen de manera gratuita, pero respetando algunas consideraciones.

En una red interna, como la que poseemos en la empresa que trabajo, suele utilizarse una CA propia, no confiable por el resto del mundo. Lo que se hace es montar una CA con algún programa como Microsoft CA u openSSL y firmar certificados que se utilicen internamente. Para que los certificados sean confiables, primero debe agregarse el certificado de la CA interna en los browsers y/o todo programa que necesite certificados. En Becoming a X.509 Certificate Authority y howto create an intermediate Certificate Authority (CA) using openssl pueden encontrar información sobre cómo crear sus propias CAs utilizando openSSL.

Ahora, qué sucede si queremos que los certificados firmados con nuestra CA sean confiables por todos los browsers/aplicaciones? tenemos dos opciones:
- Nos volvemos una CA root, para lo cual deberemos convencer de que somos confiables a todos los programas importantes que utilicen certificados. Esta opción es casi imposible, a menos que realmente obtengamos un muy gran respaldo. Algunas de las CA root son VeriSign, Thawte, y GlobalSign.
- Hacemos que nuestra CA se convierta en una CA intermedia. Esto es, pedimos a una CA root que firme el certificado de nuestra CA, con lo cual, por la cadena de confianza, todo certificado que expida nuestra CA será confiable.

Obviamente en mi búsqueda apunté a la segunda opción, así que comencé a consultar las CAs root más importantes para saber si se puede realizar tal acción. Envié la consulta a VeriSign, Thawte, Entrust y GlobalSign. De estas, en un plazo de dos días, sólo contestaron dos, Thawte y GlobalSign. Por su parte Thawte respondió no proveer tal servicio, mientras que GlobalSign si. Debido a que VeriSign posee representantes en distintos lugares del mundo, contacté a CertiSur, los encargados en Latinoamérica. Por suerte CertiSur contestó bastante rápido y me ofreció su versión Autoridad Certificante Administrada (Managed PKI), pero que no es para firmar CAs externas, sino que expiden certificados a nombre de tu empresa, firmados por VeriSign.

El único que me ofreció el servicio que yo buscaba es GlobalSign. Quedé muy contento con la atención al cliente, respondiendo mis preguntas rápidamente y explicándome cómo funciona el servicio (a pesar de que mi ingles no debe ser el mejor). El servicio de GlobalSign consiste en 3 piezas. Por un lado está el setup inicial donde ellos firman nuestra CA con un costo de u$s12,500. La segunda pieza es el hardware donde se almacenan las claves privadas, que cuesta entre u$s6k y u$s20k. Por último, tenemos el pago por los certificados que vamos a otorgar anualmente. Mientras más certificados firmemos, menor será el costo. Claro está que es mucho más barato pagar estos certificados que los que emite GlobalSign directamente.
Como podrán observar, poner una CA propia no es para nada económico... nosotros desistimos luego de observar estos precios.

Igualmente fue una experiencia muy interesante, contactando empresas grandes en busca de un objetivo bastante especial. Ojalá algún día pueda poseer una CA propia =P

1 comentarios:

Frank dijo...

I also have had great dealings with GlobalSign and find them an approachable and knowledgeable company. I recently purchased some GlobalSign SSL Certificates to protect my business sites. I was told by one of their associates to look at SSL247.com as they offer the same certificates at at least 10% under the rrp on the GlobalSign website!

Publicar un comentario