Должен ли центр сертификации (CA) постоянно находиться в сети?

Question

Должен ли ЦС быть в сети постоянно, чтобы вся система работала?

Например, если я захожу на защищенную веб-страницу, которая использует сертификат, подписанный ЦС, я получаю открытый ключ вместе с содержимым веб-страницы. Затем, когда я отправляю информацию обратно на сервер, она шифруется с помощью предоставленного мне открытого ключа и, наконец, дешифруется с помощью информации, которую я отправляю с их закрытым ключом, и все в порядке.

Есть ли смысл в процедуре, которую я (браузер / приложение) должен проверить через Интернет с ЦС, чтобы убедиться, что сертификат действителен или предполагаемый открытый ключ действительно принадлежит веб-сайту? Или, если в прошлом я доверял / утверждал ЦС, другие проверки не нужны?

В целом, должен ли ЦС постоянно находиться в сети, чтобы вся система сертификатов / цифровой подписи работала?

Answer 1

CA не должен быть онлайн. Однако общедоступный сертификат CA может указывать на веб-сервер, имеющий списки отзыва. Это должно быть онлайн.

В большинстве реализаций установлен список открытых сертификатов CA. Пользователи обычно могут доверять сертификату даже без общедоступного сертификата CA. При необходимости веб-сервер предоставит свой публичный сертификат. В зависимости от конфигурации, он может отправлять один или несколько сертификатов в цепочке на общедоступные сертификаты ЦС. Это может включать сертификат CA.

Этот механизм может использоваться для других протоколов, основанных на TLS или более старых версиях SSL. Некоторые другие распространенные протоколы, использующие TLS, включают LDAPS, STMPS и IMAPS. Обычно серверы базовых протоколов поддерживают StartTLS, где TLS запускается на обычном незашифрованном порту.

РЕДАКТИРОВАТЬ: Большинство ЦС распространяют сертификаты по электронной почте или через веб-сайт. Они должны быть онлайн. Нет необходимости когда-либо подписывать сертификат в системе, подключенной к Интернету. Однако гораздо проще избежать Sneakernet и подключить его к системе, подключенной к Интернету. Это позволяет быстрее подписать оборот с меньшим количеством ручного вмешательства. Как мы уже видели, это позволяет украсть ключ подписи.

Как правило, ключ никогда не должен покидать систему, в которой он используется. Это относится ко всей цепочке. Важно защитить ключ, сертификаты должны быть общедоступными, чтобы быть полезными. Размещение ключей в безопасном съемном хранилище - вариант, но не без его собственных рисков.

Наличие безопасного пароля помогает, но для центров сертификации, которые выдают большие объемы сертификатов, пароль может быть доступен для сценария подписи. Это облегчает получение как ключа, так и его пароля.

Возможно сохранение ключа подписи верхнего уровня в автономном режиме и заблокированного в хранилище. Ключ второго уровня можно использовать для подписи сертификатов, а его сертификат предоставляется в качестве цепного сертификата. Восстановление после потери ключа второго уровня проще, чем восстановление после потери первичного ключа подписи.