Quizás estoy siendo demasiado paranoico, pero después de leer las noticias recientes sobre seguridad de la red, estoy empezando a creer que SSL ya no es suficiente para las transmisiones de datos confidenciales.
Ref:
Soy un desarrollador web que busca construir nuevas API, principalmente para uso privado (máquinas de la compañía que hablan entre sí). Algunos sistemas podrían estar fuera de la red corporativa. Mi pregunta está relacionada con la seguridad adicional relacionada con las API en sí mismas.
¿Alguna vez alguien ha pensado o ha implementado algo como PGP o AES para encriptar realmente todos los datos yendo y viniendo dentro de las comunicaciones API?
Me refiero a que aún utilizo SSL como el envoltorio de la manta en el exterior, pero luego vamos un paso más allá cifrando la carga útil completa. Obviamente, esto crea una gran sobrecarga en el cifrado / descifrado en ambos extremos. La cosa es que estoy bien con esto conceptualmente. El hardware es barato.
Lo que no me gusta en particular es simplemente enviar mis datos en texto claro y poner todos mis huevos en la cesta de SSL.
¿Pensamientos?