Quali sono i rischi dell'utilizzo di un certificato SSL autofirmato su Internet per una connessione b2b rispetto all'uso di un certificato CA?

0

Vorrei conoscere i rischi di sicurezza aggiuntivi introdotti utilizzando un certificato autofirmato rispetto all'uso di un certificato firmato dalla CA per una connessione b2b su Internet. In questo caso particolare, la connessione utilizza SSL reciproco con firewall elencati in bianco su entrambi i lati.

La mia comprensione è che non ci sono rischi rispetto all'uso di un certificato firmato da una CA se il cliente si fida di me e aggiunge il mio certificato autofirmato al loro negozio di fiducia.

Grazie!

    
posta White Noise 15.09.2017 - 11:07
fonte

1 risposta

1

Nel tuo scenario la maggior parte dei rischi è associata alla gestione dei certificati, poiché il certificato autofirmato offre zero gestibilità. Ad esempio, sostituzione del certificato, aggiornamento, revoca. La mancanza di gestibilità porta a maggiori rischi per la sicurezza.

Ad esempio, si utilizzano certificati autofirmati per le comunicazioni b2b. Gli endpoint connessi a Internet sono più vulnerabili a diversi attacchi e vi è una grande probabilità che il certificato / chiave sia trapelato / compromesso. Questa può essere una vulnerabilità nel software di app Web, server Web, sistema operativo, ecc.

Per sostituire il certificato, dovrai informare i tuoi partner sull'incidente, chiedere loro di rimuovere il vecchio certificato e installare un nuovo certificato autofirmato nel loro negozio di fiducia. Questo processo è molto lento e durante questo intervallo di tempo i tuoi partner si fideranno del tuo certificato compromesso, a causa di questo ritardo.

Quando si distribuisce una soluzione PKI standard, è più semplice fornire un livello di sicurezza adeguato del certificato di root, perché la superficie di attacco è molto piccola. CA non è collegata direttamente a Internet e ha un accesso molto limitato all'interno della rete privata. In questo caso, il compromesso della CA principale è molto improbabile. E se il tuo server web è compromesso (non puoi permetterti lo stesso livello di sicurezza come nel server CA), basta revocare il certificato e sostituire il certificato sul server web in un attimo. E i partner non avranno problemi di sicurezza o di interruzione del servizio.

    
risposta data 15.09.2017 - 11:57
fonte

Leggi altre domande sui tag