¿Cómo ser una entidad certificadora?

Iniciado por Pretoriano Gdl, 7 Septiembre 2021, 21:09 PM

0 Miembros y 2 Visitantes están viendo este tema.

Pretoriano Gdl

Buen día a todos

Espero puedan ayudarme a darme una idea de ¿cómo puedo crear una autoridad certificadora? actualmente dependemos de las entidades certificadoras para los certificados SSL de nuestras páginas web, pero esa dependencia hace que nos tengamos que ajustar a sus políticas y precios.

Nuestro contrato nos permitía generar los certificados para dominios:

midominio.com
xxx.midominio.com
yyy.xxx.midominio.com
zzz.yyy.xxx.midominio.com

Pero ahora solo nos permite certificados a:
midominio.com
xxx.midominio.com

Y el resto tendrá un costo adicional, por lo que surgió la idea de ser nosotros una entidad certificadora que pueda emitir los certificados tanto propios como de otras subsidiarias.

En pocas palabras se quiere ser una entidad certificadora tipo digicert, globalsign, verisign, etc.

Espero puedan ayudarme, saludos.

engel lex

#1
esto en primer nivel es un asunto de confianza, en segundo nivel de sociedad, es decir, tienes que ser conocido y de confianza en ese mundo para que los otros te reconozcan, a demás probablemente llevar algún nivel de sociedad a nivel de certificador

tu puedes autofirmar tus certificados, pero como no eres un certificador de confianza, el navegador dirá justo eso "este certificado no es confiable", puedes tu confirmar que tu certificado está tan bien hecho que no es vulnerable? tienes para pagar las certificaciones de calidad?


let's encrypt es un certificador de confianza y gratuito
https://letsencrypt.org/es/

si tienes cloudflare ellos tambien te pueden dar los certificados sin costo adicional
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Pretoriano Gdl

Gracias engel lex

Ese es el mundo de dudas que se tienen:

Ejemplo absurdo pero a fin de cuentas ejemplo, con el AD CS de Microsoft comienzo a generar los certificados ¿Cómo hago que el mundo conozca y reconozca mis certificados?

Otra duda seria ¿Cuál seria la infraestructura para poder ser una autoridad y entidad certificadora?

Una de tus preguntas es: ¿tengo para pagar las certificaciones de calidad? No me queda clara tu pregunta, entiendo que la idea es que nosotros seamos quienes generemos esas certificaciones

El problema de Let's Encrypt es que sus certificados "gratis" (3 meeses) muchos antivirus los identifican como páginas no seguras y si el navegador no es actualizado marca error en el certificado

Cloudflare solo te permite el primer nivel y segundo nivel gratis (midominio.com y xxx.midominio.com) pero el 3o en adelante tiene un costo  :-(

engel lex

Citar¿Cuál seria la infraestructura para poder ser una autoridad y entidad certificadora?

sinceramente no estoy seguro, pero podría apostar que un generador de numeros realmente aleatorios debería estar involucrado

CitarUna de tus preguntas es: ¿tengo para pagar las certificaciones de calidad? No me queda clara tu pregunta, entiendo que la idea es que nosotros seamos quienes generemos esas certificaciones

ejemplo imagina que eres la empresa 3M tu produces los equipamientos para garantizar la calidad de los ambientes, pero tu tienes que demostrar que esos equipamentos realmente dan lo que prometen, allí entra una certificadora, ahora, quien dice que esa certificadora sabe que está haciendo? allí entran certificados de calidad y de transparencia, a demás de generar confianza en tu servicio

es decir, tu generas un certificado de calidad, pero como demuestras que es de calidad?

los de lets encript, si tal vez falla con algunos sistemas, sinceramente nunca he tenido problemas con ellos, lo de 3 meses en general ellos te dan la estructura para generar el script de actualización
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Pretoriano Gdl

La idea es ya no depender de empresas y poder generar y administras las PKI propias y de ahí partir, poder generar nuestros SSL para nuestras páginas y subsidiarias pero no logró encontrar información tipo: ¿Cómo ser un CA? solo encuentro Qué es un CA y publicidad de empresas

el-brujo

#5
Hay muy pocas CA en todo el mundo, me imagino deben pedir bastantes requisitos y certificaciones. Y debe ser caro, muy caro. Hay que añadir certificados en el navegador.

Y ¿Para generar un solo certificado? Deberías generar muchos certificados al año para que te salga a cuenta.

Lo ideal y más práctico sería lo que dice  engel lex , usar Let's Encrypt (R3) que es totalmente gratuito.


Los certificados de CloudFlare personalizados (propios) tiene un coste extra, cierto

Citar
El problema de Let's Encrypt es que sus certificados "gratis" (3 meses) muchos antivirus los identifican como páginas no seguras y si el navegador no es actualizado marca error en el certificado

Los certificados se automatizan para renovarse automáticamente antes de 3 meses. Con cualquier panel de control puedes hacerlo o usando certbot o la herramienta que desees.

Y ningún navegador los "considera inseguros", son totalmente válidos y seguros.

¿Navegador no actualizado? debe ser muy, muy antiguo entonces. Let's Encrypt ya hace años que funciona y hay otra entidad certificadora gratuita de reciente aparición , que hora no recuerdo el nomrbe

Let's Encrypt también permite creo recordar certificados wildcard con ilimitados subdominios: (*.dominio.com)

https://community.letsencrypt.org/t/acme-v2-production-environment-wildcards/55578

Peor era antes que todos los certificados https eran de pago, y bastante caros además, según con que compañía.

Nosotros usamos en el foro certificado de GoDaddy al ser el más barato, pero recuerdo precios verisign con precios totalmente desorbitados.

Otra opción es autofirmar los certificados, pero claro, aparecerá el aviso en el navegador.