AC’s de Serviço – AC SSL e AC Correio
André Ricardo Landim <[email protected]>
Jonathan Gehard Kohler <[email protected]> dezembro de 2009
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 2
Status Atual – AC SSL e AC Correio
• AC’s de serviço em operação abaixo da AC Raiz– AC SSL
– AC Correio
• Finalidade:– AC SSL
• Emitir certificados digitais para servidores/serviços;
– AC Correio• Emitir certificados digitais para usuários finais visando, basicamente, a
troca segura de informações via correio eletrônico.
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 3
Infraestrutura
• Infraestrutura atual virtualizada– AR’s e AC’s;
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 4
Certificados SSL emitidos
• Certificados emitidos– 7 certificados emitidos
– AC SSL
– AC Correio
– AR SSL
– Site ICPEDU
– MAST (2x)
– IMPA
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 5
AC Correio
• Autoridade Certificadora especializada em emitir certificados para correio eletrônico
• Totalmente automatizada– Sem necessidade de intervenção humana para emitir certificados
dos usuários
– Operacional automatizado
• Arquitetura:– Máquina hospedeira + HSM
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 6
AC Correio
AC Correio AC SSL
AC Raiz
AC Institucional
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 7
Certificados Emitidos
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 8
Lição aprendida
• HSM – Attack detected– Usuário reportou o problema– LCR indisponível por bastante tempo– Tempo de resposta ao incidente:
• 11 dias– 10 para detectar problema (22/11 – 02/12)– 1 dias para corrigir
• AC Correio sem LCR durante este tempo
• AC Correio não é 100% automática
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 9
Melhorias sugeridas
• HSM de Backup somente para AC Correio• Servidor para duplicar AC Correio• Ferramenta automática para detecção de
problemas no serviço/HSM• Equipe disponível para reparos rápidos• Site específico para AC Correio com tutoriais
de como usar, como instalar certificado, etc.
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 10
Considerações Finais
• Lição mais importante:– AC Correio não é 100% automático
• HSM – Attack detected
• 18 Certificados emitidos– Sem intervenção humana– Início do piloto: 13/12
• 32 dias
• 11 dias não operacional
• 21 dias operacional
Rede Nacional de Ensino e PesquisaPromover o uso inovador de redes avançadas no Brasil 11
Próximos passos
• Upgrade da infraestrutura atual– Servidores que hospedam sites, AC’s e AR’s;
– Aquisição de licença comercial para sistema de virtualização;
– Aquisição de mais HSM’s para back-up;
• Inclusão do certificado ICPEDU nos navegadores
• Resolução de problemas e atualização de versões– Introdução da versão 2.0 do sistema – AC Correio;
– Introdução da versão 2.0 do SGCI.
OBRIGADO!
André Ricardo Landim [email protected]
Jonathan Gehard Kohler<[email protected]> dezembro de 2009