Sto sviluppando alcuni sistemi pubsub su Node.js e Socket.io. Ho deciso di implementare la crittografia Off-The-Record (OTR) per impostazione predefinita per tutti i trasferimenti di dati tra client e server. La domanda è: ho bisogno di collegare in aggiunta i certificati classici per essere sicuro che anche le richieste dell'ODR vengano crittografate?
Se sarà una buona idea collegare sia OTR che SSL, che cosa è necessario coprire con altri? Voglio dire, ho bisogno di crittografare il traffico prima con CERT e poi inviarlo tra i client usando OTR per proteggerlo due volte o ho bisogno di usare OTR prima e quindi criptare tutto il traffico con e possibilmente senza OTR (come richieste di handshake e altro come che)?