Utilizzo dello stesso certificato per l'autenticazione client e server

Naviga le tue risposte
1

Supponiamo di avere un dispositivo su cui sono in esecuzione contemporaneamente sia applicazioni client che server. L'applicazione client, ad esempio, si connette a un server Web protetto remoto (HTTPS) che richiede l'autenticazione lato client. Il dispositivo offre anche un proprio web server secuer (HTTPS).

Sto pensando di utilizzare lo stesso certificato per l'autenticazione lato client e per il server web sicuro del dispositivo poiché questo approccio richiede solo l'utilizzo di una chiave privata. C'è qualche svantaggio riguardo alla sicurezza quando lo stesso certificato viene usato per entrambi i casi d'uso?

    
posta TrinityTonic 22.06.2018 - 12:02
fonte

2 risposte

2

Dato che un certificato viene essenzialmente utilizzato per autenticare alcuni utenti, servizi o sistemi, non è raro che lo stesso certificato venga utilizzato come certificato sia client che server sullo stesso sistema o per lo stesso servizio. Un caso di uso comune è ad esempio SIPS, ovvero SIP (VoIP) su TLS. Analogamente a SMTP, in genere viene utilizzato lo stesso certificato per l'autenticazione server e client quando si trasferisce una posta tra MTA (se l'autenticazione client viene utilizzata).

Is there any disadvantage in regard to security when the same certificate is used for both use-cases?

Se lo stesso certificato viene utilizzato all'interno di diversi servizi in esecuzione in diverse restrizioni di sicurezza (come come utenti diversi), la condivisione del certificato e della chiave privata aumenta la superficie di attacco per questa chiave privata.

    
risposta data 22.06.2018 - 13:04
fonte
0

Is there any disadvantage in regard to security when the same certificate is used for both use-cases?

Se si utilizza una chiave univoca per ciascuna estremità, una chiave compromessa non è sufficiente per gestire la connessione man-in-the-middle. Se la stessa chiave viene utilizzata su entrambe le estremità, potresti non scoprire l'attacco man-in-the-middle.

Ad esempio, considera il caso in cui qualcuno riceve una sospensione dei tuoi backup. Se si utilizzano chiavi univoche, esse non sono ancora in grado di gestire la connessione in modo man-in-the-middle se non hanno ottenuto il backup dei backup sia dal client che dal server. Se hai utilizzato la stessa chiave, la porta è aperta.

    
risposta data 22.06.2018 - 17:47
fonte

Leggi altre domande sui tag

Metodi per la crittografia dei dati utente sul server, Autenticazione con certificato TLS client Quale modello di minaccia implica alcun beneficio per gli spacciatori di droga che utilizzano i telefoni stupidi di candy bar per le attività commerciali con gli iPhone per uso personale?