Autenticazione client SSL: utilizzo di base ed esteso (in teoria)

Naviga le tue risposte
0

Fino ad ora ho capito l'autenticazione del client come un modo per limitare l'accesso per determinati client.

Ma dopo aver letto link Non sono più così sicuro e vorrei discutere qui per aprire gli occhi.

È tutto teoricamente.

  • Il client ha una coppia di chiavi. Nell'handshake invia il certificato (il pubkey firmato) e anche i dati casuali firmati. Poiché il server utilizza il certificato inviato per verificare che i dati firmati siano a conoscenza del fatto che anche il client è in possesso del privkey. E a causa della catena di fiducia e dell'emittente, il server sa anche che il client è autentico.

  • E non è assolutamente necessario che il certificato dei clienti sia firmato con la chiave del server. Può essere qualsiasi emittente finché il server è in grado di verificare la catena di attendibilità dei clienti. Ma dipende dai server CA.

  • Per progettare l'accesso limitato possiamo usare la CA. Metti solo i keypair dei server e solo i client sarebbero in grado di accedere utilizzando i certificati firmati con i server CA. Tutti gli altri non passeranno la verifica perché la catena della fiducia.

La mia vista è corretta?

Grazie! Chis

    
posta chris01 15.02.2017 - 20:20
fonte

1 risposta

1

Fondamentalmente è giusto. Il server Web accetterà solo i certificati client firmati dalla CA attendibile.

Ma dai un'occhiata a (ben, deprecato) direttiva Apache SSLRequire . link

Inoltre, puoi impostare ulteriori condizioni sui certificati client come il soggetto che si trova in una certa percentuale diOU o l'indirizzo email di soggetti che segue determinate regole.

Ma questo è solo il requisito necessario per impostare la connessione TLS! Quindi con questa connessione TLS probabilmente stai ancora eseguendo un'applicazione. Questa applicazione può richiedere le informazioni dal certificato dei clienti e consentire l'accesso in base al soggetto del certificato.

Il che significa: puoi limitare la configurazione della connessione TLS a un determinato reparto della tua azienda identificato da es. OU nel certificato. Tuttavia, l'applicazione potrebbe concedere diritti o ruoli diversi sulla base del CN o dell'indirizzo email all'interno del soggetto del certificato.

    
risposta data 15.02.2017 - 23:57
fonte

Leggi altre domande sui tag

Un modo per combinare la conferma ritardata della password con la possibilità per gli utenti di allontanarsi? DNSSec e DANE sarebbero più sicuri se la stessa chiave fosse stata pubblicata su diversi TLD?