Domanda sul certificato SSL e sul server di terze parti

3

Ho un sistema che consuma servizi Web da un server pubblico su Internet (ma i dati non sono pubblici) Devo fornire le credenziali in Basic Auth per ottenere i dati, ecco perché utilizziamo SSL.

Il server stesso ha un certificato SSL ed è firmato da un certificato emittente da ad esempio "Azienda A" che è a sua volta firmata da una CA radice (diciamo Company B).

La mia domanda riguarda quale certificato devo inserire nel mio negozio di fiducia (una JVM Java) e quali sono le migliori pratiche?

So che se metto il certificato del server stesso, quando scade devo rinnovarlo ma per esempio vedo che lo hanno già cambiato prima della data di scadenza (come due mesi prima). Se mi fido del certificato Emittente (Azienda A) o della CA principale (Azienda B), ho paura di affidarmi a troppi server di cui non ho bisogno per ora.

    
posta рüффп 03.02.2016 - 09:26
fonte

2 risposte

2

La best practice è affidarsi alla CA radice, per ragioni molto pratiche.

Le CA radice sono una bestia speciale e si prevede che abbiano una durata molto lunga (20 anni o più) perché richiedono la sostituzione nel software client, che di solito è un processo manuale.

I certificati intermedi e dei server dovrebbero cambiare frequentemente - in alcuni casi (ad esempio il bilanciamento del carico) possono cambiare minuto per minuto. Non dovresti aspettarti di ricevere alcuna notifica dall'operatore del server quando il certificato cambia.

Se inserisci la CA radice nel tuo negozio fidato, stai dicendo "Mi fido di questa CA - ogni certificato firmato da questa CA va bene per me". Di solito è ok, dato che il punto della CA è quello di fornire una firma affidabile per i server sconosciuti.

L'unica volta che vorresti usare un certificato del server è quando non ti fidi della CA - ma questo stesso causa ulteriori problemi, e forse TLS non è l'approccio giusto in questo caso.

    
risposta data 03.02.2016 - 10:20
fonte
1
  • Se vuoi fidarti di qualsiasi certificato emesso da A o B, inseriscili nell'archivio fiduciario.
  • Se si desidera accettare solo questo certificato specifico come attendibile, è sufficiente aggiungere questo certificato. Ma hai ragione che hai problemi quando i certificati vengono rinnovati.
  • Se vuoi solo fidarti di questo specifico certificato ma vuoi accettarlo anche se si rinnova allora puoi fidarti della CA A o B ma usa anche chiave pubblica pinning . In questo modo ti fiderai solo dei certificati che contengono questa chiave pubblica. Poiché con il rinnovo della chiave pubblica precedente viene spesso riutilizzato per il nuovo certificato, accetti comunque anche questo certificato rinnovato.
risposta data 03.02.2016 - 10:19
fonte

Leggi altre domande sui tag