Exemplos da utilização de certificados digitais públicos por oposição aos privados

A decisão de obter certificados de uma Autoridade de Certificação (CA) de Internet pública ou de utilizar uma CA privada para emitir certificados depende de vários fatores.  Estes fatores incluem quem deseja que tenha acesso às aplicações e qual o grau de segurança com que pretende manter os seus dados.

Os seguintes cenários ilustram diferentes abordagens à utilização dos certificados para regular o acesso às aplicações da sua empresa e à proteção dos dados privados que estas aplicações fornecem.

Cenário 1: Utilizar certificados digitais públicos para acesso público limitado aos recursos internos

Os certificados públicos são certificados que são emitidos por uma CA de Internet conhecida.  Utilizar certificados digitais públicos para limitar ou permitir o acesso às suas aplicações e dados é uma opção prática dadas as seguintes condições ou semelhantes:

  • Os seus dados e aplicações requerem graus de segurança variáveis.
  • Existe uma elevada taxa de rotatividade entre os utilizadores fidedignos.
  • Fornecer acesso público a aplicações e dados, tal como, por exemplo, um site de Internet ou uma aplicação extranet.
  • Não deseja trabalhar com a sua própria Autoridade de certificação (CA).

Se trabalha para uma seguradora, por exemplo, pode ser responsável pela manutenção de diferentes aplicações nos sites de Intranet e Internet da empresa. Uma aplicação em particular pela qual é responsável é uma aplicação de cálculo de taxa que permite aos agentes gerar quotas para os respectivos clientes. Embora esta aplicação não seja altamente sensível, pretende assegurar-se de que apenas os agentes registados a podem utilizar.  Para além disso, não confia na segurança que as senhas proporcionam uma vez que podem ser partilhadas entre agentes diferentes.

Para fornecer uma segurança adequada, pode requerer que os agentes obtenham um certificado de uma CA conhecida e fidedigna.  Assim que obtiver um certificado, um agente autorizado poderá visitar o site da sua empresa e solicitar o acesso à sua aplicação de cálculo de taxas.  Em seguida, o servidor pode aprovar ou rejeitar o pedido com base nas informações do certificado que o agente apresentar.  Se o servidor aprovar o pedido, é concedido acesso ao agente para a aplicação.

Cenário 2: Utilizar certificados digitais privados para limitar o acesso a aplicações privadas na Intranet

Utilizar certificados digitais públicos para limitar e permitir o acesso às suas aplicações é uma opção prática dadas as seguintes condições ou semelhantes:

  • É exigido um elevado grau de segurança, sobretudo no que diz respeito à autenticação de utilizadores.
  • Existe confiança nos indivíduos para quem são emitidos certificados.
  • Os utilizadores já têm perfis de utilizador do iSeries para controlar o seu acesso às aplicações e dados.
  • Pretende trabalhar com a própria Autoridade de Certificação (CA).

Se trabalha numa grande empresa, o departamento de recursos humanos está provavelmente preocupado com problemas, como, por exemplo, questões legais e a privacidade dos registos. Tradicionalmente, utilizava perfis de utilizador e senhas para limitar o acesso a estes dados.  Dada a natureza confidencial destes dados, apercebe-se de que as senhas não protegem de forma eficaz o acesso a estes dados.  Afinal, as pessoas podem partilhá-las, esquecer-se delas ou até mesmo roubá-las.

Deste modo, decidiu configurar uma CA privada e emitir certificados para todos os empregados e obrigar os empregados a associar os seus certificados aos seus perfis de utilizador do iSeries.  Este tipo de implementação de certificados privados permite um maior controle de acesso aos dados confidenciais, bem como controlar a privacidade dos dados através da utilização de SSL.  Por fim, ao emitir pessoalmente certificados, aumenta a probabilidade de os dados permanecerem seguros e estarem acessíveis apenas a indivíduos específicos.

A segurança que os certificados fornecem não está limitada à proteção dos dados contra ameaças externas.  Também pode utilizar certificados para restringir o acesso de certos empregados a dados específicos.  Por exemplo, pode utilizar certificados para impedir que os programadores de software da sua empresa acessam aos registos de recursos humanos referidos no cenário anterior.  Também podem impedir os escritores técnicos de utilizar aplicações de gestão de alto nível.  Pode utilizar efetivamente certificados para restringir o acesso em toda a rede.