¿Por qué no usar el mismo certificado para el servidor web TLS y para iniciar sesión en SAML?

7

He leído un poco acerca de la configuración de shibboleth y recomendaciones para SAML en internet2

Entiendo que no es necesario firmar un certificado cuando se usa para SAML, porque en realidad solo se necesita la clave. Sin embargo, sigo viendo personas que recomiendan no usar el certificado TLS de sus servidores web para firmar sus solicitudes SAML.

Entiendo que podría causar problemas de configuración para algunos tipos de configuraciones en las que los clientes no deben verificar toda la cadena de certificados. Pero actualmente estoy usando nuestro certificado TLS como nuestro certificado SAML, y no tengo ningún problema, por lo que parece funcionar en nuestro caso.

Nuestro certificado está a punto de caducar, así que empecé a implementar un nuevo certificado, que implica enviar la nueva clave pública al IDP.  Ahora nuestro idp responde con:

  

Prefiero trabajar con un certificado autofirmado para la firma SAML &   -encripción. No veo ninguna razón para usar el certificado del servidor web para este propósito.

Y me recomienda crear un certificado autofirmado y volver a intentarlo.

Sin embargo, otras personas en mi equipo no ven una razón para no usar este certificado, y yo mismo no puedo encontrar una. ¿Hay alguna buena razón contra cualquiera de estos 2 enfoques?

Otra razón por la que se crea un certificado autofirmado y se usa ese certificado es que luego necesitamos otro control cuando este certificado está a punto de caducar, y no podemos olvidar hacer una transferencia, mientras que ahora tenemos un cheque para los servidores web. El certificado TLS y una verificación para verificar este certificado SAML pueden ser difíciles de configurar. ¿Por qué deberíamos molestarnos en hacerlo si nuestra configuración actual funciona?

¿Alguien me puede dar algunas pistas sobre por qué cualquiera de estos dos enfoques es una mala idea?

    
pregunta Jens Timmerman 19.08.2015 - 14:36
fuente

1 respuesta

8

Hay algunas razones diferentes. No hay una sola respuesta, pero todas se pueden agrupar de la siguiente manera: porque se supone que no debes usar la misma clave para varias cosas.

En este caso es más un problema práctico.

  • Tienes que volver a programar el certificado TLS con el certificado SAML, lo que puede ser doloroso.
  • Revocar una tecla significa revocar la otra.
  • Si alguien roba la clave, puede hacerse pasar por TLS y SAML.
  • Si alguien configura incorrectamente el SP para validar la cadena en lugar del certificado, cualquier persona con un certificado válido firmado por esa autoridad puede suplantar.
  • etc.
respondido por el Steve 19.08.2015 - 17:11
fuente

Lea otras preguntas en las etiquetas