Autenticación mutua X509: ¿hay algún fallo de seguridad?

Navega tus respuestas
1

En el lado del cliente, mi aplicación acepta el certificado del servidor en caso de que el certificado del cliente esté firmado por este certificado de servidor. ¿Es correcto o puede ser peligroso? ¿Es mejor pedirle a un usuario que confirme la excepción de seguridad cada vez (por ejemplo, como los navegadores)?

Para aclarar la pregunta:
Lo que tengo: [server-cert][CA cert] (cadena de servidores); [client-cert][server-cert'] (cadena de clientes).
Qué hace la aplicación: si server-cert == server-cert' , el cliente confía en el servidor. Estoy preguntando si este es un comportamiento correcto o puede causar fallas.

    
pregunta Andrey Atapin 23.04.2012 - 06:07
fuente

2 respuestas

2

Si la comprobación que describiste anteriormente es la única comprobación realizada para la autenticación, existen algunos problemas importantes.

  1. La verificación solo prueba el certificado del servidor dado al cliente. El servidor nunca verifica el certificado del cliente. Así que no hay autenticación mutua.
  2. El cliente nunca tiene que demostrar el conocimiento de su clave privada
  3. El servidor nunca tiene que demostrar el conocimiento de su clave privada

Además, como lo señala ewanm89, hay problemas si la firma inicial del certificado no se realiza a través de un canal seguro.

    
respondido por el mikeazo 23.04.2012 - 13:41
fuente
0

No entiendo la pregunta. puedes darme mas detalles? ¿Qué estás tratando de lograr?

En mi experiencia con SSL, sería extremadamente inusual tener un certificado de cliente firmado por el servidor. Por lo general, los certificados están firmados por un CA. Una CA debe ser una parte separada del servidor o del cliente; se espera que la CA firme certificados para servidores y clientes.

No estoy seguro de a qué excepción de seguridad se refiere.

    
respondido por el D.W. 23.04.2012 - 07:49
fuente

Lea otras preguntas en las etiquetas

¿Mantener los privilegios del usuario después del cierre en Windows XP? Esquema de copia de seguridad físicamente aislado