Una autoridad de certificación raíz, a menudo denominada la base de confianza en su sistema PKI, es fundamental para autenticar una cadena de certificados. Para que esta cadena sea confiable, el certificado raíz debe estar integrado en el almacén raíz confiable del sistema operativo.
Dado su papel como elemento de confianza fundamental para toda su cadena de certificados, la seguridad de la CA raíz es primordial. Si entidades maliciosas obtienen acceso a su CA raíz, esencialmente tienen una clave maestra para su ámbito digital. Por lo tanto, proteger la autoridad de certificación raíz actúa como un baluarte contra posibles intrusos. En consecuencia, las CA raíz tradicionalmente se almacenan fuera de línea en ubicaciones ocultas y fortificadas, a las que solo el equipo de PKI puede acceder y activar para tareas como emitir una nueva CA o firmar una Lista de Revocación de Certificados (CRL).
¡Esta es una gran pregunta! La respuesta corta (y única): sí, necesita una CA raíz. Se recomienda que las organizaciones utilicen una jerarquía de CA de dos niveles (más detalles a continuación), que requiere una CA raíz. Ya sea que desee ejecutarlo o entregárselo a Keytos, sinceramente, no hay diferencia: las CA raíz son fundamentales para su postura de seguridad. Sin embargo, antes de decidir cómo implementarlo y cuántas CA encadenar a su CA raíz, es importante que considere la escala de su organización, la infraestructura técnica que tiene implementada y la jerarquía de CA que elija su organización.
Las grandes empresas pueden usar una CA raíz para encadenar varias CA y tener una raíz confiable, como tener una CA de Intune, una CA de tarjeta inteligente y una CA SSL, y solo tener que enviar una raíz a todos sus dispositivos. Por otro lado, a las PYMES (aunque es posible que solo tengan una CA emisora) se les recomienda tener una CA raíz como raíz de confianza que se mantenga fuera de línea y segura.
Mantener su propia CA raíz requiere dinero, mano de obra y experiencia. Es vital tomar en consideración los recursos que su organización puede o no tener para administrar las muchas responsabilidades asociadas con una CA raíz, como actualizaciones de CRL, HSM y una ubicación de almacenamiento segura para la CA.
Además, si prevé que su organización crezca o expanda sus servicios digitales en un futuro cercano, tener una autoridad de certificación raíz podría agilizar el proceso de agregar y autenticar nuevos servicios. Las organizaciones que buscan un enfoque más ágil para adaptarse a futuros cambios tecnológicos también podrían beneficiarse de su propia CA raíz.
La jerarquía de CA es, en pocas palabras, la cantidad de niveles por cada CA, y elegir la cantidad de niveles en una jerarquía de CA es vital para una planificación de PKI eficaz. Hay tres opciones para elegir: Jerarquía única/de un nivel, Jerarquía de dos niveles y Jerarquía de tres niveles. Las CA raíz desempeñan un papel importante en todos estos niveles, y cada nivel tiene funciones diferentes para la CA raíz y, por lo tanto, diferentes formas para que la CA raíz interactúe con la CA emisora. Consulte este blog que describe la diferencia entre una CA raíz y una CA emisora para obtener más información. Recomendamos que las organizaciones utilicen una jerarquía PKI de dos niveles, pero no dudes en consultar nuestro blog que define qué es una jerarquía de CA y qué jerarquía de CA debes usar para obtener más información al respecto.
Al crear EZCA, la PKI basada en Azure, éramos conscientes de las diversas necesidades de nuestra clientela. Algunos clientes pueden tener CA raíz fuera de línea preexistentes bajo el cuidado de sus expertos en PKI, mientras que otros pueden carecer de una CA raíz y desean evitar las complejidades y los costos relacionados con su mantenimiento, como la administración de CRL, módulos de seguridad de hardware (HSM), y garantizar el almacenamiento seguro de la CA raíz. Teniendo esto en cuenta, EZCA ofrece flexibilidad al admitir tanto CA raíz proporcionadas por el usuario como CA raíz administradas.
