J'ai récemment travaillé avec un client qui a décidé de se procurer des certificats auprès d'un fournisseur de services plutôt que de créer un site PKI. Dans ce cas, le client avait des ressources limitées et une évaluation de la création par rapport à l'achat a montré qu'il s'agissait de la bonne approche à court terme.
En examinant les différentes offres dans le domaine des services gérés (MSO) sur le site PKI , une préoccupation et un problème majeurs sont apparus.
Qui possède les clés privées des paires de clés lorsqu'elles sont obtenues auprès d'un service ?
Dans la plupart des cas, le client accorde une licence pour l'"utilisation" des clés et des certificats et non pour les clés et les certificats eux-mêmes. Si, à première vue, cela peut sembler bénin et sans conséquence, il faut tenir compte du fait que si vous ne possédez pas les clés, vous risquez de crypter des données et de signer des documents avec quelque chose qui ne vous appartient pas et que vous n'avez plus le droit d'utiliser à plus long terme.
Cela peut s'avérer extrêmement important lorsqu'un secteur est régi par des règles de conservation des données, comme les institutions financières ou les soins de santé, par exemple.
Examinons tout d'abord les types de services gérés PKI :
Certificats du fournisseur de services
Les certificats provenant de ce type de service contiennent généralement des informations sur le vendeur, notamment dans le nom du certificat, les emplacements CDP, etc.
Certificats à l'effigie du client
Dans ce type d'offre de services, les certificats sont généralement "marqués" au nom du client et donnent souvent l'impression d'avoir été émis à partir de son site PKI . Toutefois, ils sont généralement émis à partir d'une infrastructure partagée ou du moins d'une partie d'une infrastructure partagée.
Certificats spécifiques au client
Dans ces types de services, les certificats sont délivrés au client à partir d'une infrastructure dédiée comprenant des AC racine, des HSM, des serveurs OCSP, des serveurs CRL, etc. dédiés. Toutefois, le fournisseur de services assure l'ensemble de la maintenance, de la gestion et de l'assistance liées au site PKI. Par conséquent, les certificats sont spécifiques au client et peuvent être configurés en fonction de ses besoins.
Supposons (pour les besoins de l'argumentation) que vous deviez conserver des copies de courriers électroniques pendant 7 ans et que vous utilisiez S/MIME pour crypter tout ou partie des courriers électroniques, que vous émettiez des certificats pendant 3 ans et que ces certificats soient valables pendant 2 ans.
Tout d'abord, vous devez considérer que la date de fin du service PKI est de 2 ans à compter de la date du dernier certificat. La relation est donc de 5 ans à ce stade. Mais vous devez avoir accès aux clés pendant 7 ans pour répondre aux exigences de conservation des données, de sorte que la relation est en réalité de 12 ans.
Supposons que vous payiez 250 000 dollars pour un nombre illimité de certificats et que les frais de "maintenance" pour permettre l'accès aux clés, aux LCR et aux répondeurs OCSP représentent 25 % des frais pour les 9 années restantes.
Sur une période de 12 ans, cela représente 1 312 500 dollars, et il est probable que vous continuiez à délivrer des certificats ailleurs pendant les 9 années. Ce coût n'est pas pris en compte.
Certaines questions importantes doivent être posées au fournisseur MSO PKI :
- La solution peut-elle être transférée en interne à l'avenir ? Dans l'affirmative, quels sont les coûts prévus et la complexité technique.
- Y a-t-il des éléments du service qui ne peuvent pas être déplacés ? Qu'est-ce qui est partagé dans l'infrastructure ?
- Puis-je utiliser mes propres URL pour les LCR ?
- Les clés privées de chiffrement peuvent-elles être conservées sur mon site ?
Il va sans dire que cette liste de questions n'est pas exhaustive, mais ces questions sont souvent négligées et le fait de ne pas les poser peut conduire à des surprises inattendues. Si le MSO peut vous montrer une voie qui vous permettra d'apporter la solution en interne, cela réduira considérablement votre dépendance à l'égard du fournisseur et le risque global pour votre organisation.
Lorsque vous envisagez d'opter pour un OSM pour votre site PKI, posez les questions difficiles. Pensez à l'éventualité de devoir passer à PKI à un moment donné dans l'avenir. Soyez attentif à ce que vous obtenez comme licence et à ce que représente le coût réel sur la durée de vie du service et les besoins particuliers de votre organisation.
