Recentemente abbiamo implementato la sicurezza WS Trust su SSL per le nostre comunicazioni client / server. La nostra applicazione è utilizzata da migliaia di nostri clienti, distribuiti in tutto il mondo. Uno dei problemi che abbiamo avuto in passato con le comunicazioni sicure è che i clienti con orologi non sincronizzati hanno difficoltà a connettersi, causando chiamate ai clienti e frustrazione. Sfortunatamente, la reazione che ha causato in passato è semplicemente disabilitare questo controllo o semplicemente aumentare l'inclinazione del clock accettabile su quantità quasi infinite.
Non voglio che la sicurezza del nostro sistema sia compromessa, né voglio innescare un afflusso di reclami dei clienti che non hanno i loro orologi strettamente sincronizzati con il tempo sui nostri server (che sono sincronizzati con l'ora di internet) ). Per evitare che il controllo della sincronizzazione venga disabilitato, devo prima essere in grado di spiegare ai miei manager perché questa è una cattiva idea e perché i vantaggi della sincronizzazione dell'orologio superano il costo dei reclami o della confusione dei clienti.
- Quale ruolo gioca la sincronizzazione dell'orologio nelle comunicazioni SSL e quali tipi di vulnerabilità lo disabilitano introducendo?
- Quale è in genere considerato il range massimo accettabile per la sincronizzazione dell'orologio nelle applicazioni di sicurezza del cliente?