Modèle de confiance

Contexte

Dans une infrastructure à clé publique (PKI) Web typique, des millions de clients du monde entier font confiance à un ensemble d'autorités de certification (CA) indépendantes pour affirmer des identités (telles que des noms de domaine) dans les certificats. Dans le cadre de leurs responsabilités, les autorités de certification s'engagent à ne délivrer des certificats que lorsqu'elles ont validé indépendamment l'identité figurant dans ces certificats. Par exemple, une autorité de certification doit généralement vérifier qu'une personne qui demande un certificat pour le nom de domaine example.com contrôle effectivement ledit domaine avant de lui en émettre un. Étant donné que ces autorités de certification peuvent émettre des certificats pour des millions de clients avec lesquels elles n'ont peut-être pas de relation directe, elles sont limitées à l'affirmation d'identités vérifiables publiquement. Ces autorités de certification sont limitées à certains processus de validation bien définis qui sont appliqués de manière cohérente dans l'infrastructure PKI Web.

Contrairement à la PKI Web, une PKI privée implique souvent une hiérarchie de certification plus petite, gérée directement par une organisation. Une PKI privée n'envoie des certificats qu'aux clients qui font confiance à l'organisation pour disposer des contrôles appropriés (par exemple, les machines appartenant à cette organisation). Étant donné que les administrateurs d'une autorité de certification ont souvent leurs propres méthodes de validation des identités pour lesquelles ils émettent des certificats (par exemple, en émettant des certificats à leurs propres employés), ils ne sont pas limités par les mêmes exigences que pour la PKI Web. Cette flexibilité est l'un des principaux avantages de la PKI privée par rapport à la PKI Web. Une PKI privée permet de créer de nouveaux cas d'utilisation, tels que la sécurisation de sites Web internes avec des noms de domaine courts sans exiger la propriété unique de ces noms, ou l'encodage d'autres formats d'identité (tels que les ID SPIFFE) dans un certificat.

Certificate Authority Service vise à simplifier le processus de gestion d'une PKI privée en vous permettant de créer et de gérer facilement des autorités de certification. Par conséquent, le service d'autorité de certification ne définit pas la manière dont les identités des certificats doivent être validées. Toutefois, Certificate Authority Service fournit un ensemble robuste de contrôles de stratégie qui permet une configuration précise des pools d'autorités de certification. Pour en savoir plus, consultez la section Commandes de stratégie.

Étape suivante