Incrustar el certificado raíz en la biblioteca de software

Navega tus respuestas
2

Estoy desarrollando una biblioteca de software de comunicación de red que utiliza un protocolo de enlace similar al STARTTLS para permitir la actualización a la seguridad TLS. Incrustaré una política OIN crítica personalizada en los certificados para bloquear los certificados en mi aplicación. Debido a que el software se utilizará en dispositivos IOT incorporados que pueden no tener ningún tipo de mantenimiento durante décadas, no puedo incluir fechas de vencimiento en la cadena de certificados. Para que esto funcione, tendré que incrustar un certificado raíz en mi biblioteca de software. ¿Se considera esto una mala práctica? Estará disponible como una biblioteca estática. ¿Es este otro posible agujero de seguridad? Espero que si el certificado raíz no coincide, el cliente simplemente lo rechazará. Gracias por cualquier consejo.

    
pregunta John 07.03.2015 - 23:01
fuente

1 respuesta

0

Supongo que su pregunta es sobre el certificado del servidor con el que se comunicará la biblioteca.

Es seguro en el sentido de que evitará que la aplicación que utiliza la biblioteca se conecte inadvertidamente a un servidor en el que la biblioteca no confía. Pero no impedirá que el usuario de la biblioteca tenga intenciones maliciosas, es decir, la aplicación puede reemplazar el certificado almacenado en su biblioteca. Pero este es el caso incluso con navegadores, etc. El usuario del navegador puede ignorar las advertencias del navegador que dice que el certificado del sitio al que se está conectando no es confiable.

No hay forma de evitar que alguien que quiera conectarse a un sitio incorrecto, siempre y cuando el sitio incorrecto le permita conectarse.

    
respondido por el user93353 08.03.2015 - 12:08
fuente

Lea otras preguntas en las etiquetas

¿EAP-TLS proporciona una autenticación de dos factores? ¿Puede alguien predecir el alcance de la seguridad en el año 2030? [cerrado]