Estoy desarrollando un sistema de pubsub sobre Node.js y Socket.io. Decidí implementar el cifrado Off-The-Record (OTR) de forma predeterminada para todas las transferencias de datos entre clientes y servidores. La pregunta es ¿necesito conectar además certificados clásicos para asegurarme de que incluso las consultas de OTR se cifrarán?
Si sería una buena idea conectar ambos OTR y SSL, ¿qué uno debe cubrir al otro? Quiero decir, ¿necesito cifrar el tráfico primero con cert y luego enviarlo entre los clientes usando OTR para protegerlo dos veces o primero debo usar OTR y luego simplemente cifrar todo el tráfico con y posiblemente sin OTR (como solicitudes de apretón de manos y otras) que)?