¿Usar el certificado TLS como servidor y como cliente?

Navega tus respuestas
1

Para un protocolo de servidor a servidor federado con identidades basadas en el dominio, estoy pensando en utilizar certificados de cliente TLS como mecanismo de autenticación. Pensé que reutilizar el certificado del servidor TLS de cada par como el certificado de cliente para conectarse con otros compañeros sería el método más sencillo para implementar esto.

Sin embargo, no estoy seguro de que este doble uso de un solo certificado TLS pueda considerarse seguro. ¿Existe algún riesgo especial por el uso de un solo certificado como certificado de servidor y cliente, de manera similar a cómo es problemático usar una clave privada para firmar y cifrar? Quiero evitar crear un problema de seguridad grave por mera conveniencia.

    
pregunta denisw 17.02.2014 - 10:32
fuente

1 respuesta

1

Este esquema se usa a menudo para sendmail (MTA) y OpenVPN. Es decente, y hasta ahora solo he encontrado un escollo:

En el / cada servidor, debe llevar una lista blanca para:

  • la CA permitida (posiblemente, pero no duele)
  • los clientes permitidos

Cómo especificar los clientes depende del software específico. Recomiendo especificar su CN (nombre común) y exigir que el certificado presentado sea ① de lo contrario bueno y ② firmado por la CA especificada.

Estoy implementando la retransmisión SMTP basada en el certificado SSL del cliente (supera a SASL en cualquier momento del día, IMHO: los remitentes de correo (MUA) enviados a localhost, y localhost usa su certificado (oficial) para conectar el smarthost, que utiliza ese certificado para permitir la retransmisión). Las configuraciones de OpenVPN con esto no son muy comunes (la mayoría de las personas solo crean una lista blanca de un CA hecho a mano y permiten todos los certificados firmados por él) pero aún están en uso (es decir, tampoco es raro).

    
respondido por el mirabilos 30.05.2014 - 18:05
fuente

Lea otras preguntas en las etiquetas

Cómo usar una condición OR con el contenido de una regla de snort ¿Cómo puedo estar seguro de que mi navegador no filtra mis contraseñas a algún servidor?