Incorpora il certificato di root nella libreria del software

2

Sto sviluppando una libreria software di comunicazione di rete che utilizza l'handshaking simile a STARTTLS per abilitare l'aggiornamento alla sicurezza TLS. Inserirò un criterio OIN critico personalizzato nei certificati per bloccare i certificati nella mia applicazione. Poiché il software verrà utilizzato in dispositivi IOT incorporati che potrebbero non avere alcuna manutenzione per decenni, non posso inserire date di scadenza nella catena di certificati. Per fare questo lavoro ho bisogno di incorporare un certificato di root nella mia libreria di software. È considerata una cattiva pratica? Sarà disponibile come libreria statica. Questo è un altro potenziale buco di sicurezza? Mi aspetto che se il certificato di root non corrisponde il client lo rifiuterà. Grazie per qualsiasi consiglio.

    
posta John 07.03.2015 - 23:01
fonte

1 risposta

0

Sto assumendo che la tua domanda riguardi il certificato del server con cui la biblioteca sta per comunicare.

È sicuro nel senso che impedirà all'applicazione che utilizza la libreria di connettersi inavvertitamente a un server che non è considerato affidabile dalla libreria. Ma non impedirà l'intento malevolo da parte dell'utente della biblioteca, ad esempio l'applicazione può sostituire il certificato archiviato nella libreria. Ma questo è il caso anche con i browser ecc. L'utente del browser può ignorare gli avvertimenti del browser che dice che il certificato del sito a cui ci si sta connettendo non è affidabile.

Non c'è modo di impedire a qualcuno che vuole connettersi a un sito sbagliato finché il sito sbagliato gli consente di connettersi.

    
risposta data 08.03.2015 - 12:08
fonte

Leggi altre domande sui tag