Utilizar certificados públicos vs. emitir certificados privados

Assim que decidir utilizar certificados, deverá escolher o tipo de implementação de certificados mais adequada às suas necessidades de segurança. As opções de que dispõe para obter certificados incluem:

  • Adquirir os certificados a uma Autoridade de Certificação (CA) de Internet pública.
  • Trabalhar com a sua própria CA para emitir certificados privados para os utilizadores e as aplicações.
  • Utilizar uma combinação de certificados de CAs de Internet públicas e da sua própria CA.

A escolha de quais destas opções de implementação vai utilizar depende de vários fatores, sendo um dos mais importantes o ambiente em que os certificados são utilizados. Seguem-se algumas informações para o ajudar a determinar melhor qual é a escolha de implementação certa para as suas necessidades profissionais e de segurança.

Utilizar certificados públicos

As CAs de Internet públicas emitem certificados para qualquer pessoa que pague o montante necessário.  No entanto, uma CA de Internet ainda requer uma prova de identidade para emitir um certificado.  No entanto, este nível de comprovação varia, dependendo da política de identificação da CA.  Deve avaliar se o rigor da política de identificação da CA é adequado às suas necessidades de segurança antes de decidir obter certificados da CA ou confiar nos certificados por ela emitidos.  Uma vez que as normas Public Key Infrastructure Exchange (PKIX) evoluíram, algumas CAs públicas mais recentes agora fornecem normas de identificação mais rigorosas para a emissão de certificados.  Ainda que o processo de obtenção de certificados dessas CAs PKIX seja mais integrado, os certificados emitidos pela CA fornecem maior garantia para proteção do acesso a aplicações por parte de utilizadores específicos.  O Gestor de Certificados Digitais (DCM) permite-lhe utilizar e gerir os certificados de CAs PKIX que utilizam estas novas normas de certificados.

Também tem de considerar o custo associado à utilização de uma CA pública para emitir certificados.  Se precisar da emissão de certificados para um número limitado de aplicações servidor ou cliente e utilizadores, o custo poderá não ser um fator importante para si.  No entanto, o custo pode ser particularmente importante se tiver um grande número de utilizadores privados que necessitem de certificados públicos para autenticação de clientes.  Neste caso, deverá igualmente considerar o esforço administrativo e de programação necessário para configurar as aplicações servidor para aceitar apenas um subconjunto específico de certificados emitidos por uma CA pública.

A utilização de certificados de uma CA pública pode poupar-lhe tempo e recursos porque muitas aplicações servidor, cliente e de utilizador estão configuradas para reconhecerem a maioria das CAs públicas muito conhecidas. Além disso, outras empresas e utilizadores podem reconhecer e confiar mais nos certificados emitidos por uma CA pública muito conhecida do que nos certificados emitidos pela sua CA privada.

 

Utilizar certificados privados

Se criar a sua própria CA, poderá emitir certificados para sistemas e utilizadores num âmbito mais limitado, como a sua empresa ou organização.  A criação e manutenção da sua própria CA permite-lhe emitir certificados apenas para os utilizadores que sejam membros fidedignos do seu grupo. Esta particularidade proporciona uma melhor segurança, uma vez que pode controlar quem tem certificados e, deste modo, quem tem acesso aos seus recursos, de forma mais economica.  Uma possível desvantagem da manutenção da sua própria CA é o investimento obrigatório em tempo e recursos.  No entanto, o Gestor de Certificados Digitais (DCM) facilita-lhe este processo.

Nota: Seja qual for a CA utilizada para emitir os certificados, o administrador de sistema controla as CAs em que as aplicações no sistema devem confiar. Se conseguir encontrar uma cópia de um certificado para uma CA conhecida no browser, este poderá ser definido para confiar nos certificados de servidor que foram emitidos por essa CA. No entanto, se esse certificado de CA não se encontrar no seu arquivo de certificados *SYSTEM, o seu servidor não confiará nos certificados de utilizador ou cliente emitidos por essa CA. Para confiar nos certificados de utilizador emitidos por uma CA, terá de pedir uma cópia do certificado de CA à CA. Ela terá de estar no formato de arquivo correto e terá de adicionar esse certificado ao seu arquivo de certificados do DCM.

Poderá considerar útil analisar alguns exemplos de situações comuns de utilização de certificados para o ajudar a decidir se é a utilização de certificados públicos ou privados que melhor se adequa às suas necessidades profissionais e de segurança.

Tarefas relacionadas

Depois de decidir como pretende utilizar certificados e que tipo vai utilizar, analise estes procedimentos para obter mais informações sobre como utilizar o Gestor de Certificados Digitais para pôr o seu plano em acção:

  • Criar e utilizar uma CA privada descreve as tarefas que tem de executar caso decida trabalhar com uma CA para emitir certificados privados.
  • Gerir certificados a partir de uma CA de Internet pública descreve as tarefas que tem de executar para utilizar certificados de uma CA pública muito conhecida, incluindo uma CA PKIX.
  • Utilizar uma CA local noutros servidores iSeries descreve as tarefas que tem de executar se quiser utilizar certificados de uma CA privada em mais de um sistema.
Crie um site gratuito Webnode