Actualmente estoy cuidando una plataforma de integración con conexiones de servicios web basadas en SOAP con organizaciones asociadas. En este momento, el mismo certificado SSL se usa tanto para la seguridad a nivel de transporte (HTTPS a través de Internet pública) como para la firma y el cifrado a nivel de mensaje en las cargas útiles de SOAP.
¿Esto es típicamente considerado una mala práctica? El inconveniente inmediato que viene a la mente es el hecho de que la clave ahora existe en más de un lugar y es un poco más vulnerable que si estuviera en un solo lugar. Comprometer la clave rompería la seguridad de nivel SOAP HTTPS y . ¿Hay más problemas a tener en cuenta aquí? ¿Cómo se maneja esto en otros lugares?