security - PKI 的证书颁发机构

Question

有些人认为 PKI 的证书颁发机构应该是政府，但其他人认为证书颁发机构应该是私人实体，例如银行、公司或学校。每种方法的优点和缺点是什么？

Answer 1

首先，我建议这个问题更适合http://security.stackexchange.com

这一切都取决于你信任的人。有些组织会信任政府，而有些则绝对不会。有些人会信任银行担任这个角色，但竞争对手会信任他们吗？我见过许多银行建立自己的 PKI 或使用 PKI 供应商 - 围绕根 CA 生成和存储的物理安全要求非常詹姆斯邦德！

对于您的具体情况，请查看您的需求、信任要求和风险。哪个 PKI 提供商最有可能满足您的需求？他们的灾难恢复和业务连续性计划是如何构建的——这是否符合您的要求？它们如何防止破坏根 CA？

Answer 2

证书颁发机构的主要问题是它应该强制所有用户的信任。

考虑到根证书是信任的基础，如果你在这里有一个政府，它对该国居民的固有权力会影响证书的信任，因为居民不能说他不信任这个国家。外交为境外信任接力。

银行和公司没有这种“自动”信任。顺便说一句，他们可能对证书交付和管理实施的策略可能是关于使用中立性的关键问题。

我希望它能澄清你的问题。