Tengo un servidor web (alojado con IIS) en DMZ, tengo múltiples servicios web (WCF), los clientes son aplicaciones que no son de servidor (son aplicaciones .NET independientes) y llegan a estos servicios web a través de Internet utilizando el protocolo HTTPS.
Mi servidor tiene un certificado SSL emitido por Verisign, el punto es que mi cliente no tiene ningún tipo de credencial y cualquier máquina con esa aplicación (o aplicación similar) debe poder consumir los servicios. La información que pasa entre la máquina cliente y el servidor debe estar cifrada y firmada.
Entonces, esta es mi pregunta: ¿es suficiente tener el certificado y la seguridad de transporte para garantizar que nadie pueda leer los mensajes que pasan entre el cliente y el servidor? ¿O tengo que idear algún tipo de credencial de cliente ad hoc y agregar seguridad de mensajes?
Este enlace describe que SSL es bueno para Intranet y para la seguridad de los mensajes de Internet. ¿Por qué? ¿Qué sucede si solo uso SSL y no tengo seguridad de mensajes para el escenario de Internet?