Quale vantaggio otterrebbe qualcuno installando il mio certificato di origine?

2

La risposta a questo è probabilmente semplice, ma mi sfugge.

Ecco lo scenario: al momento, ho un server con un certificato rilasciato usando HTTPS che un cliente POST risponde dopo l'elaborazione delle richieste inviate da un servizio web. Il server del cliente ha il proprio certificato emesso e utilizza anche HTTPS. Né il certificato è un certificato jolly.

Come parte della configurazione originale, il cliente ha richiesto che il mio server avesse un certificato (non sorprendentemente). Ora, il cliente ha un requisito aggiuntivo come parte di un recente aggiornamento. Vogliono che il mio certificato di root sia installato sul loro server.

Come ho già detto, il mio server ha già un certificato valido, non jolly. Quando i loro server POST estraggono, vedono già quel certificato valido, e quando il mio server parla al loro server vedo il loro cert. Quindi cosa guadagnerebbe il mio cliente da questo?

Modifica: per chiarire, il mio certificato è firmato da una CA di terze parti.

    
posta badger2013 15.04.2016 - 20:51
fonte

2 risposte

2

Su questo certificato, è importante sapere se l'hai firmato con il certificato di origine della tua azienda; o hai fatto firmare a terzi?

Se è firmato dal tuo certificato radice privato, non avrà una copia così che non abbiano modo di convalidare le tue connessioni a te legittime. Se gli dai una copia, avranno quindi un modo per convalidare il certificato del tuo server e sapere che non vengono ingannati.

Se il tuo certificato è firmato da Thawte, Comodo, Entrust, o da una delle altre Autorità di Certificazione commerciali disponibili, allora non avrebbero bisogno, in quanto tali certificati di base sono già pubblici e installati già nelle loro macchine. Questo è lo scopo che servono sul Web.

Sarebbe una buona pratica disporre di qualsiasi certificato che si intende condividere con terze parti per essere firmato da un servizio commerciale. In questo modo, non dovrebbero installare il certificato di origine della tua azienda.

-

Normalmente, non si vorrebbe installare il certificato di root autofirmato di un'altra azienda come certificato di origine sulla scatola, poiché esiste un insieme molto potente di fiducia implicito nel certificato. Con quel certificato, i server crederanno a qualsiasi connessione firmata da questo. Potresti contraffare e firmare un certificato per www.google.com o www.fbi.gov e si fidano di tutte le connessioni a loro implicitamente.

    
risposta data 15.04.2016 - 22:48
fonte
2

L'installazione dei certificati radice su un server fa sì che quel server si fidi implicitamente di tutti i futuri certificati firmati da quella radice. Installando tale certificato di root, è possibile utilizzare certificati autogenerati firmati come root installato.

Questo aggiunge un livello di sicurezza nel fatto che la tua radice non è distribuita per essere utilizzata da altri server / istanze e non dovrebbe essere sostituita se quella firmata da essa è stata compromessa; potresti semplicemente revocare quello compromesso e rilasciarne uno nuovo firmato dalla tua root.

    
risposta data 15.04.2016 - 21:17
fonte

Leggi altre domande sui tag