SSL mutuo: uso de CA pública para la firma de CSR de autenticación de cliente

Navega tus respuestas
1

He estado leyendo muchos artículos sobre SSL mutuo, Autenticación bidireccional o Autenticación del cliente y tengo una consulta general que puede haber sido respondida en el contenido que he leído, pero si lo ha hecho, no lo he entendido. it.

Mi comprensión de una Autoridad de Certificación Pública es que se encargan de verificar que una entidad externa es quien dice ser. En este caso, la "Entidad A" solicita un Certificado Público que contiene tanto la autenticación del cliente como el uso de la clave de autenticación del servidor. Permite usar "Public CA 01" como CSR ficticia de autenticación de clientes de CA.

Luego tengo un servicio web que tiene un certificado emitido por "Public CA 01" (verificando que el proveedor de servicios web y el servidor en el que está instalado el certificado, de hecho es propiedad de la organización que solicitó el certificado).

Si, por ejemplo, "Entidad C", genera su propia clave privada, genera un CSR con el uso de la clave ClientAuth y tiene ese CSR firmado por "Public CA 01" (por ejemplo, el mismo intermediario que "Entity A"), y Confío en "Public CA 01 CA's Root, Intermediate o ambos en un archivo de paquete" que se utiliza para la validación de la autenticación del cliente, ¿no es posible que las Entidades A o C presenten sus Certificados de Autentificación del Cliente al Servicio Web y que tengan éxito Conexión SSL se produciría?

La razón clave para preguntar esto es doble;

  • La compañía de servicios web no desea utilizar una CA privada, lo que hubiera sido ideal y garantizar que la empresa de servicios web pueda examinar / garantizar que la entidad solicitante sea quien dice ser antes de la emisión del certificado. (Componente de autenticación de cliente)

  • La compañía de servicios web utiliza una CA pública estándar para la autenticación del servidor (cliente estándar estándar que verifica la autenticidad del servicio web: el 99% de los navegadores confiarían en la CA que emitió el certificado).

¿Puede alguien confirmar que, si utiliza una CA pública para la autenticación del cliente, es imperativo que al menos algún nivel de la lista blanca se realice en el lado del servicio si desea restringir el acceso en el nivel SSL, lo que permite el levantamiento de IP? ¿Lista blanca en firewall perimetral a entidades selectivas?

Gracias de antemano, disculpas si esto ya se ha pedido o si hay un artículo similar que explique este escenario específico.

    
pregunta Andy 09.03.2016 - 05:02
fuente

1 respuesta

1

Su pregunta no es trivial de entender, sin embargo, creo que para saber cuál es su pregunta real:

  

¿Quién autentica / firma los certificados para ambas partes involucradas en un protocolo de enlace TLS autenticado mutuamente?

Para el servidor, la respuesta es clara: una CA de confianza para el cliente (por ejemplo, una CA estándar) debe firmar el certificado del servidor.

Sin embargo, para el cliente, la respuesta es más flexible.
Durante el protocolo de enlace TLS, si el servidor solicita la autenticación del cliente, el servidor también envía una lista de CA (directas) que va a aceptar. De este modo, el servidor solo puede ejecutar su propia CA cliente para autenticar a sus usuarios o el servidor puede enviar una lista de CA (estándar) que va a aceptar o el servidor solo puede enviar una CA externa con la cual el propietario está contratado. >     

respondido por el SEJPM 09.03.2016 - 11:50
fuente

Lea otras preguntas en las etiquetas

¿Las mejores prácticas para el servicio de datos confidenciales? ¿Cuáles son las ventajas de un sistema de autenticación ZKP?