¿Cuáles son los riesgos de usar un certificado SSL autofirmado a través de Internet para una conexión b2b en comparación con el uso de un certificado CA?

0

Me gustaría saber sobre los riesgos de seguridad adicionales que se presentan al usar un certificado autofirmado en lugar de usar un certificado firmado por CA para una conexión b2b a través de Internet. En este caso particular, la conexión está utilizando SSL mutuo con firewalls incluidos en la lista blanca en ambos lados.

Entiendo que no hay riesgos en comparación con el uso de un certificado firmado por una CA si el cliente confía en mí y agrega mi certificado autofirmado a su almacén de confianza.

¡Gracias!

    
pregunta White Noise 15.09.2017 - 11:07
fuente

1 respuesta

1

En su escenario, la mayoría de los riesgos están asociados con la administración de certificados, porque el certificado autofirmado ofrece una capacidad de administración nula. Por ejemplo, reemplazo de certificado, actualización, revocación. La falta de capacidad de administración conduce a mayores riesgos de seguridad.

Por ejemplo, utiliza certificados autofirmados para las comunicaciones b2b. Los puntos finales conectados a Internet son más vulnerables a diferentes ataques y hay muchas posibilidades de que el certificado / clave se filtre / se vea comprometido. Esto puede ser una vulnerabilidad en el software de la aplicación web, el servidor web, el sistema operativo, etc.

Para reemplazar el certificado, deberá informar a sus socios sobre el incidente, pedirles que eliminen el certificado antiguo e instalen un nuevo certificado autofirmado en su almacén de confianza. Este proceso es muy lento y durante este período sus socios confiarán en su certificado comprometido, debido a este retraso.

Al implementar la solución PKI estándar, es más fácil proporcionar el nivel de seguridad adecuado del certificado raíz, porque la superficie de ataque es muy pequeña. CA no está conectado directamente a Internet y tiene un acceso muy limitado dentro de la red privada. En este caso, el compromiso de la CA raíz es muy poco probable. Y si su servidor web se vio comprometido (no puede pagar el mismo nivel de seguridad que en el servidor de CA) simplemente revoque el certificado y reemplace el certificado en el servidor web de forma inmediata. Y los socios no experimentarán problemas de seguridad o interrupción del servicio.

    
respondido por el Crypt32 15.09.2017 - 11:57
fuente

Lea otras preguntas en las etiquetas