Un de mes partenaires voulait faire de l'authentification de certificats SSL côté client.
Ils voulaient que nous signions le certificat en utilisant un CA reconnu.
J'avais l'impression que pour l'authentification des certificats SSL côté client, l'utilisation d'une autorité de certification auto-signée suffisait. Cependant, ils ont insisté sur le fait que cela devait être fait par une AC reconnue. Existe-t-il une telle chose ?
Cette question convient mieux à http://security.stackexchange.com site frère.
Les certificats côté client ne doivent pas être signés par une autorité de certification reconnue ; plus précisément, ils doivent être signés par une racine/intermédiaire qui ne signe jamais que ce qui est nécessaire. vous de confiance pour représenter vos clients.
Il est évident que la racine publique appartenant à une autorité de certification reconnue signe d'autres certificats que ceux de vos clients ; la signature d'un certificat avec un certain texte de sujet (CN) est la même chose que la signature d'un certificat avec un autre texte de sujet (CN). en faisant confiance à que la personne qui a demandé la signature est habilitée à agir en tant que sujet. Cela signifie qu'une AC reconnue, de par sa nature même, "fait confiance" à beaucoup plus de sujets que vous ne le feriez. En d'autres termes, votre le serveur doit faire très attention à distinguer les sujets qui vous la confiance de tout le groupe.
L'achat et le renouvellement des certificats reconnus par l'État représentent également un coût supplémentaire.
Bien qu'il y ait pourrait s'il existe des solutions d'AC reconnues qui répondent à vos besoins, elles seraient toujours plus coûteuses, plus compliquées et beaucoup plus difficiles à mettre en œuvre. moins plus sûr que de signer soi-même (avec sa propre racine, après son propre processus de vérification de l'identité du client). Cela n'a aucun sens pour moi.
Une solution encore pire est de payer pour des certificats publics, puis de supprimer toutes les racines publiques de votre magasin de confiance et de n'ajouter que les certificats spécifiques des clients finaux, un par un. Ce "compromis" ne fait que joindre les coûts des deux solutions sans aucun de leurs avantages respectifs.
更新情報 Dans le cadre de ma profession, je coopère souvent avec des banques et des processeurs PCI pour les paiements du commerce électronique. Le plus souvent, ils exigent leurs propres AC pour les certificats côté serveur et côté client et refusent d'utiliser des AC reconnues publiquement.
La plupart, sinon la totalité, des certificats de serveur émis par une autorité de certification commerciale conviennent également à l'authentification des clients. Le problème est que, comme vous devrez distribuer le certificat et la clé au client, cela pourrait créer un risque de sécurité. À moins que vous ne souhaitiez établir une communication de machine à machine, je créerais une autorité de certification privée capable d'émettre uniquement des certificats de clients.
Les autorités de certification commerciales ne délivreront un certificat de serveur que pour un nom DNS valide dont vous êtes propriétaire. Si vous souhaitez utiliser ce certificat de serveur pour l'authentification des clients, vous devrez envoyer le certificat et la clé aux utilisateurs finaux. Il s'agit d'un risque de sécurité pour le serveur que vous avez utilisé pour demander le certificat.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
