Coût de la confiance accordée à l'autorité de certification interne

Mon entreprise dispose d'une autorité de certification interne qui est actuellement auto-signée. Puisque nous voulons commencer à l'utiliser pour SSL externe et un courrier électronique sécurisé pour nos clients, nous devons le faire confiance.

Quelqu'un a-t-il une idée de ce qu'il en coûte pour obtenir un certificat racine de confiance pour une infrastructure à clé publique interne? 4 chiffres? 5 chiffres? 6 chiffres? Nous employons entre 2000 et 3000.

email ssl ssl-certificate certificate certificate-authority James Jones
la source

Réponses:

Si je me souviens bien, nous avons cité quelque chose comme 150 000 pour commencer, puis 75 000 par an lorsque nous avons examiné la question.

Zypher
la source

Wow .. C'est une pièce sérieuse. Un indice pourquoi cela coûte si cher?

James Jones

Et c'est juste pour faire signer le certificat racine de votre autorité de certification par une autorité bien connue (lire déjà approuvé par à peu près tout le monde). Je n'ai aucune idée de ce qu'il en coûterait pour entrer dans les magasins racine de confiance du vendeur. Il y a une sécurité TRÈS robuste qui nécessite d'avoir une racine de confiance, et c'est la majeure partie du coût, deuxièmement, cela agit comme une barrière à l'entrée serait ma supposition. Le coût est une connaissance de seconde main, je n'étais pas impliqué dans la tarification, mais mes amis où.

Zypher

On dirait des audits de sécurité annuels à partir d'endroits comme celui-ci - webtrust.org ... Je suppose que ce n'est pas le seul cerceau qui doit sauter.

Kara Marfia

Ce type de coût de configuration ne vous permet-il pas d'émettre des certificats à d'autres organisations? L'OP semble poser des questions sur la délivrance de certificats sous un domaine qu'il possède déjà, et possède déjà un certificat pour. Vous n'avez sûrement pas à configurer en tant qu'autorité de certification racine complète si vous souhaitez simplement émettre des certificats pour les sous-domaines vers votre propre domaine?

Chris Thorpe

@Chris nope ... vous avez besoin d'une autorité de certification complète pour émettre des certificats, la partie de chaînage survient lorsqu'une autorité de certification de confiance signe le certificat de votre autorité de certification. Cela annulerait l'objectif des certificats si vous pouviez simplement obtenir un certificat, puis l'avoir et tout ce qu'il a signé être approuvé par n'importe qui. Faire signer les certificats de votre CA est un gros problème.

Zypher

Pour vous faire une idée de la fiabilité d'un certificat racine, jetez un œil au processus en cours de CAcert . Cela a été un processus pluriannuel plutôt complexe (et ils ne sont pas terminés), mais étant une organisation ouverte, tous les détails du processus sont sur leur site Web.

Une option plus probable consiste à obtenir une autorité de certification secondaire sous l'une des grandes racines. Je ne me souviens pas laquelle, mais au moins une d'entre elles avait une option pour héberger le CA subordonné (IIRC wisc.edu le fait avec Equifax / Geotrust). Je pense que le coût en cours était dans les 5 chiffres bas par an plus quelques dollars par certificat (frais de démarrage non inclus). Je n'ai pas de liens à portée de main, mais plusieurs écoles ont choisi cette voie et ont publié les détails techniques soit sur leurs sites Web, soit dans des présentations données lors de conférences. Travailler à partir de la mémoire et de mon cache cert, wisc.edu, lsu.edu et tmc.edu semblent être de bons endroits pour commencer.

Jeremy M
la source

Jeremy, les chiffres que j'ai mentionnés où pour une autorité de certification subalterne, donc vos 5 chiffres faibles seraient appropriés pour continuer, il y a des coûts de démarrage massifs.

Zypher

Oui, j'aurais dû mentionner que c'est le coût annuel. Merci pour le rappel.

Jeremy M