Ho un server web (ospitato utilizzando IIS) in DMZ ospita più servizi Web (WCF), i client sono applicazioni non server (sono applicazioni .NET indipendenti) che raggiungono questi servizi Web via Internet utilizzando il protocollo HTTPS.
Il mio server ha un certificato SSL rilasciato da Verisign, il punto è che il mio cliente non ha alcun tipo di credenziali e qualsiasi macchina con tale applicazione (o app simile) dovrebbe essere in grado di consumare i servizi. Il passaggio di informazioni tra il computer client e il server deve essere crittografato e firmato.
Quindi questa è la mia domanda: avere il certificato e usare abbastanza la sicurezza del trasporto per essere sicuro che nessuno possa leggere i messaggi che passano tra client e server? O devo in qualche modo venire in mente qualche tipo di credenziali client ad hoc e aggiungere la sicurezza dei messaggi?
Questo collegamento descrive che SSL è un bene per Intranet e per la sicurezza dei messaggi Internet viene suggerito perché? Cosa succede se utilizzo solo SSL e nessuna sicurezza dei messaggi per lo scenario Internet?