有些人认为PKI的证书颁发机构应该是政府,但是其他人认为证书颁发机构应该是私人实体,例如银行,公司或学校。每种方法的优点和缺点是什么?
答案 0 :(得分:1)
首先,我建议这个问题更适合http://security.stackexchange.com
这一切都取决于你信任的人。一些组织会信任政府,而有些组织肯定不信任政府。有些人会相信这个角色的银行,但竞争对手会信任他们吗?我看到很多银行都建立了自己的PKI或使用PKI供应商 - 围绕根CA生成和存储的物理安全要求非常詹姆斯邦德!
针对您的具体情况,请查看您的需求,信任要求和风险。什么PKI提供商最有可能满足您的需求?他们的灾难恢复和商业连续性计划是如何构建的 - 这是否符合您的要求?它们如何防止根CA的危害?
答案 1 :(得分:0)
证书颁发机构的主要问题是它应该强制执行所有用户的信任。
考虑到根证书是信托的基础,如果您在这里有政府,其对该国居民的固有权力会影响证书的信任,因为居民无法辩称他不信任它的国家。外交接受了国外信托的接力。
银行和公司没有这种“自动”信任。顺便说一下,他们可能在证书交付和管理上执行的政策可能是关于使用中立性的一个关键问题。
我希望它能澄清一下你的问题。