A PKI tem a capacidade de expandir grupos de qualquer tamanho. Por exemplo, uma intranet empresarial, uma extranet que liga a empresa a seus parceiros comerciais e clientes, uma comunidade de interesses que abrange várias organizações como empresas da mesma indústria, ou uma comunidade global que inclui todas as pessoas, por exemplo, que entram para a grande comunidade de correio da Internet. A VeriSign facilita o desenvolvimento de grupos fora da intranet através de vários modos singulares.
Habilitação de grupos grandes
Enquanto algumas empresas exigem PKIs privadas e fechadas, outras querem que seus certificados sejam de confiança e reconhecidos por navegadores comerciais recém-lançados e outros aplicativos para computadores. Isto facilita em muito a criação de PKIs para extranets ou para grupos de interesses, pois evita a necessidade de instalação ou configuração de software especial nos sistemas computacionais de organizações que não estejam sob controle administrativo da organização que opera a PKI.
Com o VeriSign Managed PKI, estas exigências são atendidas
ao dar-se ao cliente-empresa a opção de criar uma PKI
privativa isolada, uma PKI comunitária ou voltada para indústria,
ou uma PKI ligada à Rede de Confiança da VeriSign (VTN).
A VTN é uma PKI integrada global, operada pela VeriSign e por
suas afiliadas no mundo inteiro, tais como a British Telecom, a AT&T,
a CertPlus na França6, a CertiSign no Brasil, a HiTRUST em Taiwan,
a SACA da África do Sul e a VeriSign japonesa. As chaves-raiz
da VTN são pré-instaladas em todos os maiores produtos
comerciais para computador, inclusive clientes da Microsoft e da Netscape,
permitindo que os certificados emitidos na PKI sejam reconhecidos imediatamente
pelos usuários destes produtos.
|
Embora uma PKI Empresarial possa começar apenas com aplicativos de intranet, um planejamento adequado permitirá que mais tarde ela seja ampliada para extranets ou estruturas comunitárias maiores. Os grupos podem ser elaborados de imediato quando seus membros já reconhecem chaves-raiz comuns. A VeriSign oferece aos clientes do VeriSign Managed PKI as seguintes opções: PKI privativa, PKI para extranet, PKI para indústria, ou uma PKI com certificação cruzada pela VTN, cujas raízes são pré-instaladas em todos os produtos populares. Com uma PKI elaborada a partir de um software autônomo, a formação de grupos é muito mais difícil, pois envolve a troca manual de chaves e a instalação de certificados de teste e chaves-raiz. |
Certificação Cruzada
A certificação cruzada é o processo pelo qual uma CA emite um certificado para outra CA, dando margem a que redes de certificados associem grupos de PKI que possam abranger várias organizações. A VeriSign liderou o desenvolvimento de estruturas de certificação cruzada, incluindo a VTN (grupo mundial de PKI pública), estruturas de certificação de PKI privativa para empresas ou grupos de interesses, a infra-estrutura global denominada SET (que envolve certificação cruzada de vários produtos de CA de vendedores), e certificação cruzada dos mais populares produtos de software de CA (o Certificate Server da Netscape e o Certificate Server da Microsoft) nas infra-estruturas da VeriSign.
As estruturas de certificação cruzada podem ser simples (ex.: hierárquicas) ou complexas (ex.: rede de confiança ilimitada), conforme a preferência do grupo de usuários. A certificação cruzada da VeriSign dá suporte a todas estas estruturas.7
A certificação cruzada compreende duas etapas essenciais:
- Criação de práticas: A criação de acordos adequados no tocante a práticas
de gerenciamento de riscos e termos/condições comerciais
entre as organizações de certificação
cruzada.
- Emissão/Solicitação de certificados: Transferência de solicitação de assinatura de certificado de uma CA para outra e emissão de um certificado cruzado por esta última CA.
A emissão/solicitação de certificados é direta, retratando o mesmo processo utilizado para a emissão de um certificado de usuário. Este processo faz uso de protocolos padrão indústria para solicitação de certificados, tais como os padrões PKCS#7 e PKCS#10, amplamente instalados, ou os padrões PKIX em desenvolvimento da Força Tarefa de Engenharia de Internet.
A etapa de criação de práticas representa um grande
desafio, mas os clientes da VeriSign podem tirar proveito da perícia
do Departamento de Práticas da VeriSign, dirigido por Michael
Baum, um renomado advogado de comércio eletrônico. Os clientes
da VeriSign têm duas opções: podem utilizar certificação
cruzada numa estrutura com práticas estabelecidas já em
funcionamento ou criar uma nova estrutura com novas práticas.
Neste último caso, os clientes recebem acesso à perícia
exclusiva em práticas da VeriSign, quer seja através de
consultoria ou sub-licenciando as declarações de práticas
comprovadas. A questão mais importante na construção
de estruturas de certificação cruzada é que as
opções de criação de muitos dos planos de
certificação cruzada bilateral em rede não podem
ser redimensionados para comunidades viáveis. O nível
global de confiança acabaria refletindo o menor denominador comum
de todas as relações bilaterais. A VeriSign trabalha com
comunidades de interesse para criar um método comum para as práticas
de PKI desde o início, utilizando como base vários exemplos
da vida real.
|
Certificação cruzada significa muito mais do que simplesmente a emissão de outro certificado. É um arranjo comercial especial, que envolve acordos em assuntos como práticas de segurança e divisão de responsabilidade. A VeriSign elaborou numerosas estruturas de CA certificadas de forma cruzada entre várias empresas, ligando grupos de instituições financeiras, CAs comerciais e outras organizações no mundo inteiro. A VeriSign ajuda seus clientes a criar práticas e acordos de certificação cruzada. Com o software de PKI, no qual a certificação cruzada está incluída, você não depende de mais ninguém. |
6 A CertPlus é uma "joint venture" composta pela France Telecom, GemPlus, Matra e a VeriSign.
7 Nem todos os aplicativos que utilizam certificados suportam todas as configurações estruturais.
