certificati unici e protocollo TLS

0

So che possiamo usare il protocollo TLS per creare una connessione sicura tra un server e un client. La mia domanda è: i certificati, che usano in TLS, sono unici per ogni connessione (coppia) ?. per esempio. in un centro dati con migliaia di switch e host, connessioni sicure tra un controller principale e dispositivi (come controller SDN e dispositivi southbound) avverranno con migliaia di certificati? o usando un certificato (o una coppia? "non so") in tutta la rete o parte di esso?

    
posta ARYAMAN 04.11.2017 - 01:55
fonte

2 risposte

1

Un certificato serve per identificare un endpoint di connessione, come un dispositivo o un utente. Qualsiasi computer client può verificare che il certificato di un server sia stato firmato dal certificato di origine della società, il che può assicurare che si stanno connettendo a un vero endpoint affidabile. Quindi ogni server ha bisogno di un solo certificato.

Allo stesso modo, il certificato client (facoltativo) viene rilasciato a una macchina o utente. Il server può convalidare che il client è chi dice di essere; Inoltre, il server può leggere un valore dal campo Distinguished Name sul certificato per accertare l'identità del cliente.

Quindi, quando si utilizzano i certificati per l'autenticazione, non è necessario stabilire una coppia di certificati tra ciascuna coppia di endpoint comunicanti. Hai solo bisogno di un certificato per ogni server e (facoltativamente) uno per ogni cliente.

    
risposta data 04.11.2017 - 03:29
fonte
0

A parte ciò che Steffen ha già risposto, specialmente

So when using certificates for authentication, you don't need to establish one pair of certs between each communicating pair of endpoints. You just need one cert for each server and (optionally) one for each client.

e

So each server needs only one certificate.

c'è un'altra parte della tua domanda a cui vorrei rivolgermi:

Si sta chiedendo se ci sono migliaia di connessioni protette da TLS all'interno dei data center e se tutti usano certificati unici. La risposta è generalmente "sì" per i data center di interesse generale in cui tutti possono essere ospitati in co-hosting e la rete all'interno del data center non è considerata sicura.

Tuttavia, nei data center che sono esclusivi per una società che ha a che fare con un sacco di richieste, solitamente i cosiddetti proxy https reverse che dedicano il lavoro a decifrare la connessione https da internet, utilizzarla senza crittografia all'interno della rete (protetta) nel data center e successivamente eseguire il backup della risposta in TLS.

Questo viene fatto principalmente per motivi di prestazioni e debug, un singolo certificato con un singolo nome host può quindi essere utilizzato senza problemi da un cluster di macchine, rendendolo più resiliente ai problemi, più veloce e più affidabile e più facile da modificare.

Si noti che sebbene questo non sia completamente il modo in cui TLS è stato concepito per essere utilizzato, in realtà non interferisce con le proprietà garantite da un certificato TLS: è sempre la stessa entità e solo quell'entità (la grande azienda) che può sbircia nel tuo traffico.

    
risposta data 04.11.2017 - 07:37
fonte

Leggi altre domande sui tag