Modelo de confianza

Antecedentes

En una infraestructura de clave pública (PKI) típica, millones de clientes en todo el mundo confían en un conjunto de autoridades certificadas (CA) independientes para confirmar identidades (como nombres de dominio) en los certificados. Como parte de sus responsabilidades, las AC se comprometen a emitir solo certificados cuando hayan validado de forma independiente la identidad en ese certificado. Por ejemplo, una CA normalmente necesita verificar que alguien que solicita un certificado para el nombre de dominio example.com realmente controle dicho dominio antes de emitirle un certificado. Dado que esas AC pueden emitir certificados para millones de clientes en los que quizás no tengan una relación directa existente, están limitadas a confirmar identidades que se puedan verificar públicamente. Esas CA se limitan a ciertos procesos de verificación bien definidos que se aplican de manera coherente en la PKI web.

A diferencia de la PKI web, una PKI privada suele implicar una jerarquía de AC más pequeña, que una organización administra directamente. Una PKI privada solo envía certificados a los clientes que confían intrínsecamente en la organización para tener los controles adecuados (por ejemplo, máquinas que pertenecen a esa organización). Dado que los administradores de AC a menudo tienen sus propias formas de validar identidades para las que emiten certificados (por ejemplo, emitir certificados a sus propios empleados), no están limitados por los mismos requisitos que para la PKI web. Esta flexibilidad es una de las principales ventajas de la PKI privada sobre la de la Web. Una PKI privada permite nuevos casos de uso, como proteger sitios web internos con nombres de dominio cortos sin requerir la propiedad única de esos nombres, o codificar formatos de identidades alternativas (como ID de SPIFFE) en un certificado.

Certificate Authority Service tiene como objetivo simplificar el proceso de administración de la PKI privada, ya que te permite crear y administrar CA con facilidad. Por lo tanto, el Servicio de CA no define cómo se deben validar las identidades en los certificados. Sin embargo, el Servicio de CA proporciona un conjunto completo de controles de políticas que permite una configuración detallada de los grupos de AC. Para obtener más información, consulta Controles de políticas.

¿Qué sigue?