Cosa è la PKI?

Cos'è la PKI?

L'infrastruttura a chiave pubblica (PKI) è un sistema di processi, tecnologie e policy che consente di crittografare e firmare i dati. Con la PKI puoi emettere certificati digitali che autenticano l'identità di utenti, dispositivi o servizi. Tali certificati creano una connessione protetta sia per le pagine web pubbliche sia per i sistemi privati, come ad esempio le reti private virtuali (VPN), il Wi-Fi interno, le pagine Wiki e altri servizi che supportano la MFA. Hai qualche domanda?

FAQ

Cos'è la PKI?

L'infrastruttura a chiave pubblica (PKI) è un sistema di processi, tecnologie e policy che consente di crittografare e/o firmare i dati. Con la PKI puoi emettere certificati digitali che autenticano l'identità di utenti, dispositivi o servizi. Questi certificati funzionano sia per le pagine web pubbliche che per i servizi interni privati (ad esempio, per autenticare i dispositivi che si connettono alla tua VPN, Wiki, Wi-Fi, ecc.)

Perché la mia azienda dovrebbe usare la PKI?

Con l'infrastruttura a chiave pubblica (PKI), puoi aumentare sensibilmente il livello di sicurezza della tua rete. I tre vantaggi principali grazie ai quali questo avviene:

• Autenticazione: Convalida le identità per garantire che solo utenti e dispositivi autorizzati abbiano accesso al server.
• Crittografia: Utilizza un certificato per creare una sessioni crittografata, in modo che le informazioni possano essere trasmesse in modalità privata.
• Integrità dei dati: Hai la certezza che i messaggi o i dati trasferiti da e verso dispositivi e server non vengano alterati.

Come si usa la PKI?

Ecco alcuni esempi dei casi d'uso più comuni della PKI:

• Proteggere le pagine web
• Crittografare i file
• Autenticare e crittografare le email utilizzando S/MIME
• Autenticare i nodi che si connettono a una rete wireless
• Autenticare le connessioni alla VPN
• Autenticare le connessioni a siti e servizi contenenti dati aziendali che utilizzano l'autenticazione reciproca TLS

Cos'è la crittografia end-to-end?

La crittografia end-to-end ha luogo quando un messaggio viene crittografato sul tuo dispositivo e quindi decrittografato sul dispositivo del destinatario. Questo vuol dire che nessuna terza parte potrà intercettare i dati sensibili.

Cos'è una CA?

Un'autorità di certificazione (CA) è una terza parte attendibile che verifica l'identità di un'azienda che richiede un certificato digitale. Dopo aver verificato l'identità dell'azienda, la CA emette un certificato e vincola l'identità di quell'azienda a una chiave pubblica. Il certificato digitale risulta quindi affidabile perché è legato al certificato radice della CA.

Che cos'è un certificato digitale?

Un certificato digitale funge da garanzia per l'identità del titolare. Proprio come la patente di guida, il certificato viene emesso da una terza parte affidabile, non può essere contraffatto e contiene informazioni identificative.

Cosa sono le chiavi pubbliche e private e in che modo sono correlate?

Le chiavi pubbliche e private sono utilizzare per crittografare e decrittografare le informazioni. Solo la chiave privata può decrittografare le informazioni crittografate dalla chiave pubblica. Questa coppia di chiavi viene definita crittografia asimmetrica (in quanto la crittografia avviene utilizzando chiavi non identiche). Tra le due chiavi vi è una correlazione matematica, ma è impossibile determinare una chiave utilizzando l'altra.

Cosa sono i certificati root pubblici e privati?

Un certificato root fornisce la firma quando vincola un'identità alla chiave pubblica. È in questo modo che puoi stabilire se un certificato è valido, e se puoi considerarlo affidabile.

DigiCert offre soluzioni sia per PKI pubblica che privata?

In breve, la risposta è sì. DigiCert offre soluzioni sia per PKI pubblica che privata, oltre a una piattaforma e un'API RESTful, che ti consentono di automatizzare la gestione dei certificati e personalizzare i flussi di lavoro PKI. Per l'acquisto di certificati SSL pubblici, è possibile che tu abbia collaborato solo con una CA commerciale. Essendo questa il tuo unico punto di riferimento, forse immagini che i certificati privati hanno costi simili a quelli dei certificati pubblici, ma non è così. L'emissione di un certificato pubblico con DigiCert ha un costo decisamente inferiore a quello di un certificato pubblico.

I tecnici della sicurezza e gli amministratori a volte pensano erroneamente che una PKI privata in hosting li limiterà a determinati profili di certificati. Pensano anche che potranno accedere solo a profili di certificati approvati dal CA/Browser Forum. DigiCert può invece fornirti qualunque profilo di certificato tu voglia. Questi profili di certificati non devono essere del tipo SSL/TLS, e nemmeno X.509.

Cos'è la MPKI?

La PKI gestita (MPKI) è una soluzione fornita da una CA che ti consente di iniziare ad automatizzare i processi dei certificati e a personalizzare i flussi di lavoro PKI. Quando la tua organizzazione arriverà a un punto in cui le servirà un elevato volume di certificati, avrai a disposizione una soluzione MPKI che semplifica la gestione dei certificati.

È consigliabile avete una CA interna (creazione) o utilizzare una CA in hosting (acquisto)?

Puoi proteggere i tuoi servizi interni (ad es. VPN, Wi-Fi, Wiki, ecc.) utilizzando una CA interna. In genere, le aziende per questo si affidano alla CA Microsoft. Tuttavia, creare e mantenere una CA interna può essere dispendioso in termini economici e di tempo. Prima di decidere, dovresti considerare con attenzione i costi di ciascuna soluzione. Molte CA forniscono soluzioni in hosting che ti consentono di risparmiare sui costi di hardware, software e personale previsti dalla creazione di una PKI interna.

Cos'è una policy di certificazione?

Una policy di certificazione (CP) è un documento creato per identificare i diversi attori di una PKI e i loro ruoli e compiti. La CP delinea le pratiche quali le modalità di utilizzo dei certificati, le modalità di scelta dei nomi dei certificati, in che modo devono essere generate le chiavi e molto altro ancora. La CP associata è solitamente specificata nel capo dei certificati X.509. Per informazioni più dettagliate sulla CP, consulta il documento di riferimento aggiornato (RFC 3647): https://tools.ietf.org/html/rfc3647

Cos'è l'archiviazione delle chiavi e come va gestita?

L'archiviazione delle chiavi consiste nel riporre in sicurezza la chiave privata in caso di smarrimento. Ai fini della conformità FIPS e per garantire il massimo livello di sicurezza, consigliamo di archiviare le chiavi utilizzando un modulo di sicurezza hardware (HSM).

Cos'è un HSM?

Un HSM è un'opzione di crittografia basata su hardware per l'archiviazione sicura delle chiavi. In genere, gli HSM si trovano fisicamente on-premise, e per la loro manutenzione sono necessarie delle risorse interne. Questo può risultare costoso, ma esistono anche delle opzioni più economiche. Per esempio, Microsoft Azure Key Vault offre un'archiviazione sicura delle chiavi nell'HSM cloud di Microsoft. Se la tua azienda è piccola o non hai le risorse per acquistare e mantenere un HSM, Microsoft Azure Key Vault può essere una soluzione valida. Alcune CA pubbliche, tra cui DigiCert, offrono l'integrazione con Microsoft Azure.

Come posso iniziare a creare una PKI?

Per iniziare, devi valutare il tuo ambiente tenendo conto delle tue esigenze e delle tecnologie che utilizzi. Come prima cosa, ti suggeriamo di seguire questi cinque step:

• Identifica i tuoi rischi per la sicurezza di rete non negoziabili
• Identifica i rischi per la sicurezza di rete che è possibile ridurre con la PKI
• Sviluppa il giusto mix di PKI pubblica e privata
• Decidi se optare per la creazione (CA interna) o l'acquisto (CA in hosting)
• Stabilisci come automatizzare la consegna dei certificati sui dispositivi

Se hai bisogno di assistenza, contatta uno dei nostri esperti PKI all'indirizzo enterprise@digicert.com.