Assinatura de certificado do lado do cliente

1

Um dos meus parceiros queria fazer autenticação de certificado SSL no lado do cliente.

Eles queriam que assinássemos o certificado usando uma autoridade de certificação reconhecida.

Fiquei com a impressão de que, para a autenticação de certificado SSL do lado do cliente, o uso de uma autoridade de certificação auto-assinada faria isso. No entanto, eles insistiram que isso deveria ser feito por uma AC reconhecida. Existe uma coisa dessas?

    
por Allano 26.02.2016 / 09:17

2 respostas

1

Esta questão é mais adequada para o site link .

Certificados do lado do cliente não devem ser assinados por uma autoridade de certificação reconhecida; mais precisamente, eles devem ser assinados por tal raiz / intermediário que apenas assina o que você confiou para representar seus clientes.

Obviamente, a raiz pública pertencente a uma autoridade de certificação reconhecida assina outros certificados além dos seus clientes; assinar um certificado com algum texto de assunto (CN) é o mesmo que confiar que quem solicitou assinatura tem o direito de agir como esse assunto. Isso significa que uma CA reconhecida, por sua própria natureza, "confia" muito mais em Assuntos do que você confiaria. Em outras palavras, o seu servidor precisa ter cuidado extra para distinguir os assuntos que você confiam em todo o grupo.

Certificados reconhecidos publicamente também são um custo extra para comprar e renovar.

Embora possam existir soluções por CAs reconhecidas que atendam aos seus requisitos, elas sempre seriam mais caras, mais complicadas e <<> menos seguras do que assinar por conta própria ( com sua própria raiz, após o seu próprio processo de verificação de identidade do cliente). Não faz nenhum sentido para mim.

Ainda pior solução é pagar por certificados públicos e, em seguida, remover todas as raízes públicas do seu armazenamento de confiança e adicionar apenas certificados específicos de cliente final, um por um. Esse "compromisso" simplesmente une os custos de ambas as alternativas sem nenhum dos seus respectivos benefícios.

Atualização Profissionalmente, eu freqüentemente coopero com bancos e processadores PCI para pagamentos de comércio eletrônico. Na maioria das vezes, eles exigem suas próprias CAs para os certificados do lado do servidor e do lado do cliente e se recusam a usar CAs reconhecidas publicamente.

    
por 26.02.2016 / 10:18
0

A maioria, se não todos, os certificados de servidor emitidos por uma autoridade de certificação comercial também são adequados para autenticação de clientes. O desafio é que, como você precisará distribuir o certificado e a chave para o cliente, isso pode criar um risco de segurança. A menos que você faça uma comunicação entre máquinas, eu criaria uma CA privada adequada para emitir apenas o certificado do cliente.

As CAs comerciais só emitem um certificado do Servidor para um nome DNS válido que você possui. Se você quiser usar este certificado de servidor para autenticação de cliente, precisará enviar o certificado e a chave para os usuários finais. Este é um risco de segurança para o servidor que você usou para solicitar o certificado.

    
por 26.02.2016 / 11:06