Situación: he creado un cliente WS (.net wcf) para el cliente que accede a un servicio web de terceros (Websphere). Este WS usa HTTPS y obtengo un certificado del proveedor de WS. Todo funciona bien, entregué el cliente WS al cliente, el cliente ordenó su certificado ... pero de repente recibí un correo del auditor de seguridad del cliente donde me preguntaba cosas que no entiendo por qué es interesante. Así que no estoy preparado para tal giro de la historia.
Si entiendo el objetivo del auditor de seguridad, entonces entenderé lo que realmente quiere. El esta preguntando acerca de 1) ¿Cuál es el nivel de protocolo mínimo que admite el requisito de WS (SSLv2 o SSLv3)? 2) ¿Cuál es la longitud mínima de la clave 128 o 256 bits?
He escuchado sobre el ataque de reversión de SSL, pero esto debería ser interesante para el administrador de WS ( tercero ), no para el auditor de seguridad de la red del cliente WS ( mi cliente ). ¿Por qué el usuario del cliente WS podría estar interesado en esas cosas? ¿Puede haber configuraciones de firewall que deba ajustar?