Scelta dello scenario di sicurezza per il servizio / client WCF ospitato da IIS

0

Ho un server web (ospitato utilizzando IIS) in DMZ ospita più servizi Web (WCF), i client sono applicazioni non server (sono applicazioni .NET indipendenti) che raggiungono questi servizi Web via Internet utilizzando il protocollo HTTPS.

Il mio server ha un certificato SSL rilasciato da Verisign, il punto è che il mio cliente non ha alcun tipo di credenziali e qualsiasi macchina con tale applicazione (o app simile) dovrebbe essere in grado di consumare i servizi. Il passaggio di informazioni tra il computer client e il server deve essere crittografato e firmato.

Quindi questa è la mia domanda: avere il certificato e usare abbastanza la sicurezza del trasporto per essere sicuro che nessuno possa leggere i messaggi che passano tra client e server? O devo in qualche modo venire in mente qualche tipo di credenziali client ad hoc e aggiungere la sicurezza dei messaggi?
Questo collegamento descrive che SSL è un bene per Intranet e per la sicurezza dei messaggi Internet viene suggerito perché? Cosa succede se utilizzo solo SSL e nessuna sicurezza dei messaggi per lo scenario Internet?

    
posta Fred Jand 13.05.2015 - 16:30
fonte

1 risposta

0

is having the certificate and using the transport security enough to make sure that nobody can read the messages passing between client and server?

A tutti gli effetti, sì. (con esclusione degli attacchi MitM)

Or do I have to somehow come up with some kind of ad hoc client credential and add message security?

Negativo.

This link describes that SSL is good for Intranet and for internet message security is suggested why?

Perché durante una distribuzione intranet si mantiene il controllo di tutti i sistemi su una rete privata e si può garantire che ogni sistema stia effettivamente utilizzando la sicurezza del trasporto durante l'invio di dati tramite LAN / WAN.

La sicurezza dei messaggi è preferita quando si utilizza uno scenario "Internet" perché interagirai con terze parti. Potresti non essere in grado di garantire che queste terze parti non siano state compromesse e / o impongono la sicurezza del trasporto lungo l'intera catena.

What happens if I only use SSL and no message security for the internet scenario?

Sono un po 'confuso sulla configurazione della tua infrastruttura e su quali parti hai effettivamente rispetto a quali parti vengono noleggiate da un provider di hosting, ma secondo le raccomandazioni di Microsoft Message Security è il metodo preferito quando i messaggi possono essere indirizzati attraverso sistemi intermedi . (aka: internet)

    
risposta data 13.05.2015 - 17:28
fonte

Leggi altre domande sui tag