He estado leyendo muchos artículos sobre SSL mutuo, Autenticación bidireccional o Autenticación del cliente y tengo una consulta general que puede haber sido respondida en el contenido que he leído, pero si lo ha hecho, no lo he entendido. it.
Mi comprensión de una Autoridad de Certificación Pública es que se encargan de verificar que una entidad externa es quien dice ser. En este caso, la "Entidad A" solicita un Certificado Público que contiene tanto la autenticación del cliente como el uso de la clave de autenticación del servidor. Permite usar "Public CA 01" como CSR ficticia de autenticación de clientes de CA.
Luego tengo un servicio web que tiene un certificado emitido por "Public CA 01" (verificando que el proveedor de servicios web y el servidor en el que está instalado el certificado, de hecho es propiedad de la organización que solicitó el certificado).
Si, por ejemplo, "Entidad C", genera su propia clave privada, genera un CSR con el uso de la clave ClientAuth y tiene ese CSR firmado por "Public CA 01" (por ejemplo, el mismo intermediario que "Entity A"), y Confío en "Public CA 01 CA's Root, Intermediate o ambos en un archivo de paquete" que se utiliza para la validación de la autenticación del cliente, ¿no es posible que las Entidades A o C presenten sus Certificados de Autentificación del Cliente al Servicio Web y que tengan éxito Conexión SSL se produciría?
La razón clave para preguntar esto es doble;
-
La compañía de servicios web no desea utilizar una CA privada, lo que hubiera sido ideal y garantizar que la empresa de servicios web pueda examinar / garantizar que la entidad solicitante sea quien dice ser antes de la emisión del certificado. (Componente de autenticación de cliente)
-
La compañía de servicios web utiliza una CA pública estándar para la autenticación del servidor (cliente estándar estándar que verifica la autenticidad del servicio web: el 99% de los navegadores confiarían en la CA que emitió el certificado).
¿Puede alguien confirmar que, si utiliza una CA pública para la autenticación del cliente, es imperativo que al menos algún nivel de la lista blanca se realice en el lado del servicio si desea restringir el acceso en el nivel SSL, lo que permite el levantamiento de IP? ¿Lista blanca en firewall perimetral a entidades selectivas?
Gracias de antemano, disculpas si esto ya se ha pedido o si hay un artículo similar que explique este escenario específico.