Perché non utilizzare lo stesso certificato per il server web TLS e l'accesso al SAML?

7

Ho letto un po 'sulla configurazione di shibboleth e sui raccomandazioni per SAML su internet2

Capisco che un certificato non deve essere firmato quando viene utilizzato per SAML, perché in realtà è necessaria solo la chiave. Tuttavia, continuo a vedere persone che raccomandano di non usare il certificato TLS dei server Web per la firma delle richieste SAML.

Ho capito che potrebbe causare problemi di configurazione per alcuni tipi di configurazioni in cui non ci si aspetta che i client controllino l'intera catena di certificati. Ma attualmente sto usando il nostro certificato TLS come nostro certificato SAML, e non ho riscontrato alcun problema, quindi sembra che funzioni nel nostro caso.

Il nostro certificato sta per scadere, quindi ho iniziato a sviluppare un nuovo certificato, che implica l'invio della nuova chiave pubblica all'IDp.  Ora il nostro idp risponde con:

I prefer to work with a self-signed certificate for SAML-signing & -encryption. I see no reason to use the webserver's certificate for this purpose.

E mi consiglia di creare un certificato autofirmato e riprovare.

Tuttavia, altre persone nella mia squadra non vedono una ragione per non usare questo certificato, e non posso trovarne immediatamente uno io stesso. Ci sono delle buone ragioni contro entrambi questi 2 apochi?

Un motivo per cui la creazione di un certificato autofirmato e l'utilizzo di quello è che abbiamo bisogno di un altro controllo quando questa cert sta per scadere, e non possiamo dimenticare di fare un rollover, mentre ora abbiamo un controllo per i server web Il certificato TLS e un controllo per verificare questo certificato SAML potrebbero essere difficili da configurare. Perché dovremmo preoccuparci di farlo se la nostra configurazione attuale funziona?

Qualcuno può darmi qualche suggerimento sul motivo per cui uno di questi 2 approcci è una cattiva idea?

    
posta Jens Timmerman 19.08.2015 - 14:36
fonte

1 risposta

8

Ci sono diversi motivi. Non c'è una sola risposta, ma possono essere raggruppate tutte insieme: perché non si suppone che si usi la stessa chiave per più cose.

In questo caso è più un problema pratico.

  • Devi tempo ridigitare il certificato TLS con il certificato SAML, che può essere doloroso.
  • Revocare un tasto significa revocare l'altro.
  • Se qualcuno ruba la chiave, può impersonare sia TLS che SAML.
  • Se qualcuno non riesce a configurare correttamente l'SP per convalidare la catena anziché il certificato, allora chiunque disponga di un certificato valido firmato da tale autorità può impersonare.
  • ecc.
risposta data 19.08.2015 - 17:11
fonte

Leggi altre domande sui tag