Utilizando la autenticación mutua, ¿todavía debo preocuparme por la integridad del mensaje y el ataque de repetición?

1

Estoy tratando de asegurar una API REST, nuestra situación es que cada cliente que se conecte a esta API también tendrá un certificado firmado por nuestra propia CA. Debido a esto, creo que podemos usar el certificado del cliente como un mecanismo de autenticación e instalar nuestro certificado raíz en el servidor web para la verificación y luego usar la autenticación mutua a través de HTTPS. Intentamos hacer esto con nginx, por lo que es tan simple como requerir que nginx tenga la verificación del cliente activada. Sin embargo, no tengo claro si debo seguir marcando la hora y firmar cada solicitud, ¿debo preocuparme por la integridad del mensaje y el ataque de repetición? ¿Hay algún otro ataque contra el que deba protegerme?

    
pregunta nullgraph 25.02.2016 - 01:07
fuente

2 respuestas

0

Dado que SSL garantiza que el canal de comunicación esté protegido tanto contra la manipulación como por la indagación, no hay necesidad de hacer más para garantizar la integridad y la reproducción de los mensajes.

Esto supone que está realizando una autenticación segura al validar el certificado de cliente, asegurándose de que no se haya revocado y que no haya caducado, que coincida con el usuario correcto, etc. ...

    
respondido por el Neil Smithline 25.02.2016 - 01:38
fuente
0

Sí, puede utilizar los certificados para la autenticación mutua. Esto le brindaría la verificación de la integridad, la autenticación y el cifrado en tránsito de forma gratuita, siempre que el certificado esté validado en cada conexión.

Sin embargo, cuando dice proteger contra ataques de reproducción, a nivel de la aplicación, aún debe realizar las comprobaciones necesarias para la reproducción de mensajes.

    
respondido por el h4ckNinja 25.02.2016 - 02:39
fuente

Lea otras preguntas en las etiquetas