¿Es compatible el certificado SSL autofirmado con la arquitectura descrita? [cerrado]

0

Estoy creando una aplicación con una arquitectura cliente-servidor usando SSL a través de TCP. Los clientes pueden autorizarse en el servidor mediante inicio de sesión y contraseña y convertirse en usuarios. Solo los usuarios pueden realizar acciones con sus cuentas. Los clientes no autorizados solo pueden autorizarse ellos mismos.

Ahora los clientes solo usan mi aplicación cliente usando mi servidor, pero creo que estará bien si alguien usa una aplicación de terceros.

Como entendí, ahora solo mi servidor se autoriza para cada cliente, para que cada cliente sepa que este es un servidor real. Comando de prueba del servidor:

  

openssl s_server -key server.key -cert server.crt -accept 1678

En el lado del cliente solo tengo el certificado .der .

Entonces, las preguntas:

  1. ¿Es correcto este entendimiento?
  2. ¿También necesito claves del lado del cliente para las autorizaciones de los clientes en el servidor, o esto es suficiente para la arquitectura descrita?
  3. ¿Necesito un certificado de CA o un certificado autofirmado será el mismo?
pregunta don-prog 29.05.2017 - 02:33
fuente

1 respuesta

3
  1. Sí, en el caso habitual de TLS / SSL, solo el servidor se autentica ante el cliente y no al revés. Para crear confianza para esta autenticación en el lado del cliente, debe almacenar el certificado del servidor (o su huella digital) o una lista de certificados de autoridades de certificación confiables.
  2. Como está describiendo, que sus usuarios se autentican a sí mismos a través del nombre de usuario y la contraseña, la autenticación del cliente TLS no es necesaria. Puede reemplazar su autenticación de usuario con él o aumentar la seguridad de su sistema utilizando ambos esquemas, pero puede vivir sin él.
  3. No necesita un certificado firmado por una CA pública. Si está utilizando un certificado autofirmado, debe almacenarlo en su aplicación cliente y proporcionárselo a todos los proveedores de terceros. Sin embargo, debe tener cuidado si planea o necesita reinvertir el certificado del servidor, ya que eso se volverá más complicado sin utilizar un certificado de emisor de confianza (no puede simplemente cambiar a un nuevo certificado firmado por la CA de confianza, sino que debe crear el nuevo autofirmado un tiempo antes de usarlo, inclúyalo en el almacén de confianza de su aplicación y espere hasta que todos sus usuarios se hayan actualizado).
respondido por el mat 29.05.2017 - 17:53
fuente

Lea otras preguntas en las etiquetas