Kürzlich hatte ich mit einem Kunden zu tun, der sich dafür entschied, Zertifikate von einem Dienstanbieter zu beziehen, anstatt eine PKI aufzubauen. In diesem Fall verfügte der Kunde nur über begrenzte Ressourcen, und eine Bewertung der Frage, ob er Zertifikate erstellen oder kaufen sollte, ergab, dass dies kurzfristig der richtige Ansatz war.
Bei der Betrachtung der verschiedenen Angebote im Bereich der PKI Managed Service Offerings (MSO) kam ein zentrales Anliegen und Problem zum Vorschein.
Wer ist Eigentümer der privaten Schlüssel der Schlüsselpaare, wenn sie von einem Dienst bezogen werden?
In den meisten Fällen lizenziert ein Kunde die "Nutzung" der Schlüssel und Zertifikate und nicht die eigentlichen Schlüssel und Zertifikate selbst. Auf den ersten Blick mag das harmlos und unbedeutend erscheinen, aber bedenken Sie, dass Sie, wenn Sie nicht Eigentümer des Schlüsselmaterials sind, möglicherweise Daten verschlüsseln und Dokumente mit etwas signieren, das Ihnen nicht gehört und für das Sie keine längerfristigen Nutzungsrechte haben.
Dies könnte sich als äußerst wichtig erweisen, wenn ein Wirtschaftszweig Vorschriften zur Datenaufbewahrung unterliegt, wie z. B. Finanzinstitute oder das Gesundheitswesen.
Schauen wir uns zunächst die typischen Arten von verwalteten PKI-Diensten an:
Zertifikate mit der Marke des Dienstanbieters
Zertifikate, die von dieser Art von Diensten stammen, enthalten in der Regel die Informationen des Anbieters im gesamten Zertifikat, insbesondere in der Benennung des Zertifikats, den CDP-Standorten usw.
Zertifikate mit Kundenlogo
Bei dieser Art von Dienstleistungsangebot sind die Zertifikate in der Regel für den Kunden "gebrandet" und sehen oft so aus, als wären sie von der PKI des Kunden ausgestellt worden, obwohl sie in der Regel von einer gemeinsam genutzten Infrastruktur oder zumindest einem Teil einer gemeinsam genutzten Infrastruktur ausgestellt werden.
Kundenspezifische Zertifikate
Bei dieser Art von Diensten werden die Zertifikate für den Kunden von einer speziellen Infrastruktur ausgestellt, zu der spezielle Root-CAs, HSMs, OCSP-Server, CRL-Server usw. gehören. Der Dienstanbieter übernimmt jedoch die gesamte Wartung, Verwaltung und Unterstützung im Zusammenhang mit der PKI. Folglich sind die Zertifikate kundenspezifisch und können je nach Bedarf konfiguriert werden.
Angenommen, Sie müssen Kopien von E-Mails 7 Jahre lang aufbewahren und verwenden S/MIME, um einige oder alle E-Mails zu verschlüsseln, und Sie stellen Zertifikate für 3 Jahre aus, die 2 Jahre lang gültig sind.
Zunächst müssen Sie das Enddatum des PKI-Dienstes auf 2 Jahre ab dem Datum des letzten Zertifikats festlegen. Zu diesem Zeitpunkt beträgt die Beziehung also 5 Jahre. Sie benötigen jedoch 7 Jahre lang Zugriff auf die Schlüssel, um die Anforderungen an die Datenaufbewahrung zu erfüllen, so dass die Beziehung eigentlich 12 Jahre beträgt.
Nehmen wir an, Sie zahlen 250.000 USD für unbegrenzte Zertifikate und eine "Wartungsgebühr" für den Zugang zu den Schlüsseln, CRLs und OCSP-Respondern beträgt 25 % der Gebühr für die verbleibenden 9 Jahre.
Im Laufe der 12 Jahre sind das 1.312.500 $, und wahrscheinlich stellen Sie während der 9 Jahre immer noch Bescheinigungen von irgendwo anders aus. Diese Kosten sind nicht mit eingerechnet.
Dem MSO PKI-Anbieter sollten einige wichtige Fragen gestellt werden:
- Kann die Lösung in Zukunft in das eigene Haus verlagert werden? Wenn ja, wie hoch sind die voraussichtlichen Kosten und die technische Komplexität?
- Gibt es Elemente des Dienstes, die nicht verlagert werden können? Was wird in der Infrastruktur gemeinsam genutzt?
- Kann ich meine eigenen URLs für CRLs verwenden?
- Können private Schlüssel für die Verschlüsselung an meinem Standort hinterlegt werden?
Natürlich ist diese Liste nicht vollständig, aber diese Fragen werden oft übersehen, und wenn sie nicht gestellt werden, kann dies zu unerwarteten Überraschungen führen. Wenn der MSO einen Weg aufzeigen kann, der es Ihnen ermöglicht, die Lösung selbst zu implementieren, verringert dies Ihre Abhängigkeit vom Anbieter und das Gesamtrisiko für Ihr Unternehmen erheblich.
Wenn Sie einen MSO für Ihre PKI in Betracht ziehen, stellen Sie die schwierigen Fragen. Stellen Sie sich vor, dass Sie irgendwann in der Zukunft zu einer PKI wechseln müssen. Achten Sie genau darauf, was Sie lizenzieren und wie hoch die tatsächlichen Kosten über die Lebensdauer des Dienstes und die besonderen Anforderungen Ihrer Organisation sind.