¿Está bien usar el mismo certificado SSL para la firma / encriptación HTTPS y SOAP?

2

Actualmente estoy cuidando una plataforma de integración con conexiones de servicios web basadas en SOAP con organizaciones asociadas. En este momento, el mismo certificado SSL se usa tanto para la seguridad a nivel de transporte (HTTPS a través de Internet pública) como para la firma y el cifrado a nivel de mensaje en las cargas útiles de SOAP.

¿Esto es típicamente considerado una mala práctica? El inconveniente inmediato que viene a la mente es el hecho de que la clave ahora existe en más de un lugar y es un poco más vulnerable que si estuviera en un solo lugar. Comprometer la clave rompería la seguridad de nivel SOAP HTTPS y . ¿Hay más problemas a tener en cuenta aquí? ¿Cómo se maneja esto en otros lugares?

    
pregunta Nick McLean 16.11.2018 - 01:56
fuente

1 respuesta

0

Ok, así que sin querer responder con "depende", aquí están mis pensamientos sobre esto.

La firma de los mensajes SOAP con un certificado proporciona la capacidad de no rechazo legal del contenido del mensaje.

Tienes razón en que tener el mismo certificado usado significa que potencialmente estás sobre exponiendo la clave.

Así que aquí es donde entra "depende".

Si su caso de uso es para garantizar que el mensaje se está enviando, sin cambios, por parte de quién lo firma, entonces está haciendo esto mal, y debe usar certificados separados y tratarlos adecuadamente.

Si su caso de uso es más simplemente verificar que el cuerpo del mensaje no haya sido manipulado en general y que haya sido firmado por algo que tenga acceso a esta clave privada compartida, entonces lo aceptaré personalmente. / p>

Saludos, Pete

    
respondido por el GreatSeaSpider 16.11.2018 - 11:48
fuente

Lea otras preguntas en las etiquetas