Va bene usare lo stesso certificato SSL per la firma / crittografia HTTPS e SOAP?

2

Attualmente mi occupo di una piattaforma di integrazione con connessioni di servizi Web basate su SOAP verso organizzazioni partner. Al momento, lo stesso certificato SSL viene utilizzato sia per la sicurezza a livello di trasporto (HTTPS tramite Internet pubblico) sia per la firma e la crittografia a livello di messaggio nei payload SOAP.

Questo è in genere considerato una cattiva pratica? Lo svantaggio immediato che viene in mente è il fatto che la chiave ora esiste in più di un posto ed è un po 'più vulnerabile che se fosse in un posto. Compromettere la chiave potrebbe rompere sia la sicurezza del livello SOAP e SOAP. Ci sono più problemi da conoscere qui? Come viene gestito in altri posti?

    
posta Nick McLean 16.11.2018 - 01:56
fonte

1 risposta

0

Ok, quindi, senza voler rispondere con "dipende", ecco i miei pensieri su questo.

La firma dei messaggi SOAP con un certificato offre la possibilità di non recedere dal contenuto dei messaggi in modo legale.

Hai ragione che avere lo stesso certificato utilizzato significa che stai potenzialmente esponendo la chiave.

Quindi è qui che entra in gioco "dipende".

Se il tuo caso d'uso è quello di garantire che il messaggio sia stato inviato, invariato, da chi è stato firmato, allora stai sbagliando, e dovresti usare certificati separati e trattarli correttamente.

Se il tuo caso d'uso è più semplicemente per verificare che il corpo del messaggio non sia stato manomesso in generale e che sia stato firmato da qualcosa che ha accesso a questa chiave privata condivisa, allora sarei d'accordo con me personalmente.

Saluti, Pete

    
risposta data 16.11.2018 - 11:48
fonte

Leggi altre domande sui tag