Costo de obtener la confianza de la autoridad de certificación interna

12

Mi empresa tiene una autoridad de certificación interna que actualmente está autofirmada. Dado que queremos comenzar a usarlo para SSL externo y correo electrónico seguro para nuestros clientes, necesitamos que sea confiable.

¿Alguien tiene un estadio en cuanto a lo que cuesta obtener un certificado raíz de confianza para una PKI interna? 4 figuras? 5 figuras? 6 figuras? Empleamos entre 2000-3000.

email ssl ssl-certificate certificate certificate-authority James Jones
fuente

Respuestas:

9

Si no recuerdo mal, se nos citó algo así como 150k para comenzar y luego 75k por año cuando investigamos esto.

Zypher
fuente
Wow ... Esa es una moneda seria. ¿Alguna pista de por qué cuesta tanto?
James Jones
Y eso es solo para que el certificado raíz de su CA sea firmado por una autoridad bien conocida (lectura en la que ya confían casi todos). No tengo idea de lo que costaría entrar en las tiendas de raíz de confianza del proveedor. Hay una seguridad MUY pesada que implica tener una raíz de confianza, y eso es la mayor parte del costo, en segundo lugar, es una barrera de entrada, supongo. El costo es conocimiento de segunda mano. No estuve involucrado en el precio, pero mis amigos dónde.
Zypher
Parece que las auditorías de seguridad anuales de lugares como este: webtrust.org ... Supongo que ese no es el único aro que necesita saltar.
Kara Marfia
1
¿No es ese tipo de costo de instalación permitirle emitir certificados a otras organizaciones? El OP parece estar preguntando acerca de la emisión de certificados debajo de un dominio que ya posee y para el que ya posee un certificado. ¿Seguramente no tiene que configurarlo como una CA raíz completa si solo desea emitir certificados para subdominios a su propio dominio?
Chris Thorpe
1
@ Chris no ... necesitas una CA completa para emitir certificados, la parte de encadenamiento viene cuando una CA de confianza firma el certificado de tu CA. Negaría el propósito de los certificados si solo pudiera obtener un certificado y luego tenerlo y cualquier cosa que firmara sea confiable para cualquier persona. Obtener la firma de los certificados de su CA es un gran problema.
Zypher
3

Para tener una idea de obtener un certificado raíz de confianza, eche un vistazo al proceso continuo de CAcert . Ha sido un proceso de varios años bastante complejo (y no se han completado), pero al ser una organización abierta, todos los detalles del proceso están en su sitio web.

Una opción más probable es obtener una CA subordinada bajo una de las grandes raíces. No recuerdo cuál de las manos, pero al menos uno tenía una opción hace un tiempo para ellos hospedar a la CA subordinada (IIRC wisc.edu hace esto con Equifax / Geotrust). Creo que el costo actual estaba en las bajas 5 cifras por año más unos pocos dólares por certificado (costos de inicio no incluidos). No tengo enlaces a mano, pero varias escuelas han ido por este camino y tienen los detalles técnicos publicados en sus sitios web o en presentaciones dadas en conferencias. Trabajando desde la memoria y mi caché de certificados, wisc.edu, lsu.edu y tmc.edu parecen buenos lugares para comenzar.

Jeremy M
fuente
Jeremy, los números que mencioné para una CA subordinada, por lo que tus 5 cifras bajas serían correctas para continuar, hay costos de inicio MASIVOS.
Zypher
Sí, debería haber mencionado que ese es el costo anual. Gracias por el recordatorio.
Jeremy M