SSL reciproco: utilizzo della CA pubblica per la firma della CSR di autenticazione del client

Naviga le tue risposte
1

Ho letto molti articoli su Mutuo SSL, Autenticazione a due vie o Autenticazione client e ho una richiesta generale a cui è stata data una risposta nel contenuto che ho letto, ma se lo è, non ho capito esso.

La mia comprensione di un'autorità di certificazione pubblica è che si occupano di verificare che un'entità esterna sia chi affermano di essere. In questo caso, "Entità A" richiede un certificato pubblico che contiene sia l'autenticazione del client che l'utilizzo della chiave di autenticazione del server. Consente di utilizzare "CA pubblica 01" come CA fittizia per la firma delle CSR dell'autenticazione client.

Poi ho un servizio Web con un certificato emesso da "CA pubblica 01" (Verifica che il provider di servizi Web e il server su cui è installato il certificato siano effettivamente di proprietà dell'organizzazione che ha richiesto il certificato).

Se ad esempio "Entity C", genera la propria chiave privata, genera un CSR con l'utilizzo della chiave ClientAuth e ha il CSR firmato da "CA pubblica 01" (ad esempio, ad esempio lo stesso intermedio di "Entità A"), e Spero che "Root CA pubblico, CA1 o intermedio in entrambi i file" utilizzato per la convalida dell'autenticazione client, non sia possibile per le Entità A o C presentare i certificati di autenticazione client emessi al servizio Web e una corretta Connessione SSL si verificherebbe?

Il motivo principale per chiedere questo è duplice;

  • La società di servizi Web non desidera utilizzare la CA privata che sarebbe stata l'ideale e garantire che la società di servizi Web potesse controllare / assicurare che l'entità richiedente sia chi dice di essere prima dell'emissione di certificati. (Componente di autenticazione client)

  • La società di servizi Web utilizza la CA pubblica standard per l'autenticazione del server (client standard di magazzino che verifica l'autenticità del servizio Web - il 99% dei browser si fiderebbe della CA che ha emesso il certificato).

Qualcuno può confermare che se si utilizza una CA pubblica per l'Autenticazione client, è imperativo che almeno un certo livello di lista bianca venga gestito dal servizio se si desidera limitare l'accesso a livello SSL, consentendo il sollevamento di IP elenco bianco sul firewall perimetrale verso entità selettive?

Grazie in anticipo, scusa se è già stato chiesto o se esiste un articolo simile che spiega questo specifico scenario.

    
posta Andy 09.03.2016 - 05:02
fonte

1 risposta

1

La tua domanda non è banale da capire, tuttavia penso di sapere qual è la tua domanda attuale:

Who authenticates / signs the certificates for both parties involved in a mutually authenticated TLS handshake?

Per il server, la risposta è chiara: una CA fidata dal client (ad esempio una CA standard) deve firmare il certificato del server.

Per il cliente, tuttavia, la risposta è più flessibile.
Durante l'handshake TLS, se il server richiede l'autenticazione del client, il server invia anche un elenco di CA (diretti) che accetterà. In tal modo il server può semplicemente eseguire la propria CA Client per autenticare i propri utenti o il server può inviare un elenco di CA (standard) che accetterà o il server può semplicemente inviare una CA esterna con cui il proprietario è contrattato.

    
risposta data 09.03.2016 - 11:50
fonte

Leggi altre domande sui tag

Le migliori pratiche per la pubblicazione di dati sensibili? Rotazione delle chiavi per chiavi segrete condivise - raccomandazione