Recientemente hemos implementado la seguridad de WS Trust sobre SSL para las comunicaciones de nuestros clientes / servidores. Nuestra aplicación es utilizada por miles de nuestros clientes, repartidos por todo el mundo. Uno de los problemas que hemos tenido en el pasado con las comunicaciones seguras es que los clientes con relojes no sincronizados tienen dificultades para conectarse, lo que resulta en llamadas y frustraciones. Desafortunadamente, la reacción que ha causado en el pasado es simplemente deshabilitar esta comprobación o simplemente aumentar el sesgo de reloj aceptable a cantidades casi infinitas.
No quiero que la seguridad de nuestro sistema se vea comprometida, ni quiero provocar una afluencia de quejas de clientes que no tienen sus relojes estrechamente sincronizados con la hora de nuestros servidores (que se sincronizan con la hora de Internet). ). Para evitar que la verificación de sincronización se deshabilite efectivamente, primero debo poder explicar a mis gerentes por qué esto es una mala idea y por qué los beneficios de la sincronización del reloj superan el costo de las quejas o confusiones de los clientes.
- ¿Qué función desempeña la sincronización de reloj en las comunicaciones SSL y qué tipo de vulnerabilidades la desactiva?
- ¿Cuál se considera típicamente el rango máximo aceptable para la sincronización de reloj en aplicaciones seguras para el cliente?