Kosten für die Gewinnung der Vertrauenswürdigkeit einer internen Zertifizierungsstelle

Mein Unternehmen verfügt über eine interne Zertifizierungsstelle, die derzeit selbst signiert ist. Da wir es für externes SSL und sichere E-Mails an unsere Kunden verwenden möchten, müssen wir dafür sorgen, dass es vertrauenswürdig ist.

Hat jemand einen Überblick darüber, was es kostet, ein vertrauenswürdiges Stammzertifikat für eine interne PKI zu erhalten? 4 Figuren? 5 Figuren? 6 Figuren? Wir beschäftigen zwischen 2000-3000.

— James Jones
quelle

Antworten:

Wenn ich mich recht erinnere, wurden uns ungefähr 150.000 Startpunkte pro Jahr genannt, als wir uns das anschauten.

— Zypher
quelle

Wow .. Das ist eine ernsthafte Münze. Gibt es einen Anhaltspunkt, warum es so viel kostet?

— James Jones

Und das ist nur, um das Stammzertifikat Ihrer Zertifizierungsstelle von einer bekannten Behörde signieren zu lassen (lesen Sie, dass fast jeder bereits vertrauenswürdig ist). Ich habe keine Ahnung, was es kosten würde, in die vertrauenswürdigen Root-Stores des Anbieters zu gelangen. Es gibt SEHR Hochleistungssicherheit, die eine vertrauenswürdige Wurzel hat, und das ist der größte Teil der Kosten. Zweitens ist es eine Eintrittsbarriere, wie ich vermute. Die Kosten sind gebrauchtes Wissen. Ich war nicht an der Preisgestaltung beteiligt, aber meine Freunde, wo.

— Zypher

Sieht aus wie jährliche Sicherheitsüberprüfungen von Orten wie diesem - webtrust.org ... Ich schätze , das ist nicht der einzige Rahmen, durch den man springen muss.

— Kara Marfia

Ist diese Art von Einrichtungskosten nicht dafür verantwortlich, dass Sie Zertifikate an andere Organisationen ausstellen können? Das OP scheint nach der Ausstellung von Zertifikaten unter einer Domain zu fragen, die er bereits besitzt und für die er bereits ein Zertifikat besitzt. Sicherlich müssen Sie keine vollständige Stammzertifizierungsstelle einrichten, wenn Sie nur Zertifikate für Subdomains für Ihre eigene Domain ausstellen möchten.

— Chris Thorpe

@Chris nein ... Sie benötigen eine vollwertige Zertifizierungsstelle, um Zertifikate auszustellen. Der Verkettungsteil kommt, wenn eine vertrauenswürdige Zertifizierungsstelle das Zertifikat Ihrer Zertifizierungsstelle unterzeichnet. Es würde den Zweck von Zertifikaten zunichte machen, wenn Sie nur ein Zertifikat erhalten und es dann und alles, was es signiert, von irgendjemandem als vertrauenswürdig ansehen könnten. Es ist sehr wichtig, die Zertifikate Ihrer Zertifizierungsstelle zu unterschreiben.

— Zypher

Sehen Sie sich den laufenden CAcert-Prozess an, um eine Vorstellung davon zu bekommen, wie ein Stammzertifikat tatsächlich als vertrauenswürdig eingestuft wird . Es war ein ziemlich komplexer mehrjähriger Prozess (und sie sind noch nicht abgeschlossen), aber als offene Organisation befinden sich alle Details des Prozesses auf ihrer Website.

Eine wahrscheinlichere Option ist es, eine untergeordnete Zertifizierungsstelle unter eine der großen Wurzeln zu stellen. Ich erinnere mich nicht an die Nebenhand, aber mindestens eine hatte vor einiger Zeit eine Option für sie, die untergeordnete CA zu hosten (IIRC wisc.edu macht dies mit Equifax / Geotrust). Ich denke, die laufenden Kosten lagen bei den niedrigen 5 Zahlen pro Jahr plus ein paar Dollar pro Zertifikat (ohne Startkosten). Ich habe keine nützlichen Links, aber einige Schulen sind diesen Weg gegangen und haben die technischen Details entweder auf ihren Websites oder in Präsentationen auf Konferenzen veröffentlicht. Wisc.edu, lsu.edu und tmc.edu arbeiten aus dem Arbeitsspeicher und meinem Zertifikatscache und sehen nach guten Einstiegsmöglichkeiten aus.

— Jeremy M
quelle

Jeremy, die Zahlen, die ich für eine untergeordnete Zertifizierungsstelle angegeben habe, sodass Ihre niedrigen fünf Zahlen für den laufenden Betrieb richtig wären, sind MASSIVE Startkosten.

— Zypher

Ja, ich hätte erwähnen sollen, dass das die Kosten pro Jahr sind. Danke für die Erinnerung.

— Jeremy M