Il cert server SSL autofirmato è compatibile con l'architettura descritta? [chiuso]

Naviga le tue risposte
0

Sto creando un'applicazione con un'architettura client-server che utilizza SSL via TCP. I client possono autorizzarsi sul server utilizzando login e password e diventare utenti. Solo gli utenti possono eseguire qualsiasi azione con i loro account. I client non autorizzati possono autorizzarsi solo da soli.

Ora i client funzionano solo con la mia app client usando il mio server, ma penso che andrà bene se qualcuno userà l'app di terze parti.

Come ho capito, ora solo il mio server si autorizza per ciascun client, quindi ogni client sa che questo è un vero server. Comando test del server:

openssl s_server -key server.key -cert server.crt -accept 1678

Sul lato client ho solo il certificato .der .

Quindi, le domande:

  1. Questa interpretazione è corretta?
  2. Ho anche bisogno di una chiave lato client per le autorizzazioni dei client sul server, o questo è sufficiente per l'architettura descritta?
  3. Ho bisogno che un certificato CA o autofirmato sia lo stesso?
posta don-prog 29.05.2017 - 02:33
fonte

1 risposta

3
  1. Sì, nel solito caso TLS / SSL, solo il server si autentica sul client e non viceversa. Per creare fiducia per questa autenticazione sul lato client, è necessario memorizzare il certificato del server stesso (o la sua impronta digitale) o un elenco di certificati dalle autorità di certificazione attendibili.
  2. Dato che stai descrivendo, che i tuoi utenti si autenticano tramite nome utente e password, l'autenticazione del client TLS non è necessaria. Puoi sostituire l'autenticazione utente con esso o aumentare la sicurezza del tuo sistema utilizzando entrambi gli schemi, ma puoi vivere senza.
  3. Non è necessario un certificato firmato da una CA pubblica. Se si utilizza un certificato autofirmato, è necessario memorizzarlo nell'applicazione client e fornirlo a tutti i fornitori di client di terze parti. Bisogna tuttavia fare attenzione, se si pianifica o si ha necessità di eseguire il rollover del certificato del server, poiché ciò diventa più complicato senza l'uso di un certificato di emittente di fiducia (non è possibile passare a un nuovo certificato firmato dalla CA attendibile ma creare il nuovo autofirmato un po 'di tempo prima di utilizzarlo, includilo nel negozio fidato della tua app e aspetta che tutti gli utenti abbiano aggiornato).
risposta data 29.05.2017 - 17:53
fonte

Leggi altre domande sui tag

Le firme digitali sono inviate con il messaggio che è contenuto in esse o è solo la firma digitale inviata? Quanto "strong" è una password generata usando PostgreSQL "random ()"?