[英]SSL or Code Signing Certificate
我们必须确保我们的 REST 服务是安全的,我们正在考虑为此使用 SSL 证书,但是有人建议使用代码签名证书,我不确定它是否会提供 HTTPS 协议和安全的客户端/服务器通信。 (点对点)互联网上可用的信息不多,如果有人能详细说明它会有所帮助,并让我知道代码签名证书是否也会在浏览器中使用 https 来进行安全的客户端/服务器通信。
提前致谢。
...但是有人建议使用代码签名证书,我不确定它是否会提供 HTTPS 协议和安全的客户端/服务器通信。
代码签名无济于事。 网络安全模型不是这样设置的。 关于这个主题的一些很好的读物是STREWS 网络安全报告。 它强调了几乎所有的安全特性,但它经常忽略安全漏洞(即,它没有记录风险)。
在当前模型下,浏览器执行代码而不管它来自哪里。 它可能是 HTTPS、HTTP 或由坏人注入。 随着“浏览器即平台”的扩展和功能更加完善以与本机应用程序保持一致,当前的模型无法满足需求。 这是因为一些 API 处理敏感数据,例如相机、麦克风和位置,因此需要的不仅仅是“任何代码都可以从任何地方运行”。
Web 的模型正在转向Secure Origins,以授权代码在与敏感数据相交时运行。 安全来源唯一需要的是用于识别主机的服务器证书。 另请参阅 Chrome 中强大的新功能首选安全源以及 IETF 的web-app-sec邮件列表上的各种讨论。
现在是提及网络正在实现身份验证即授权这一飞跃的好时机。 X509 证书仅标识服务器; 它不授权本身任何特权。 证明主机身份的 CA 不会做出这些声明或保证任何与它远程接近的东西。 带有覆盖的公钥固定打破了安全上下文的假设。
身份验证即授权与 Java 的小程序和沙箱所犯的错误相同。 将授权视为身份验证在 Java 中变得如此糟糕,以至于建议变成“不要要求任何权限,因为它允许您突破沙箱(并且只有恶意软件要求权限)”。 如需更多阅读,请参阅Java 的丢失安全遗留问题。
有人不知道他们在说什么。 SSL 端点使用 SSL 证书进行保护。 代码使用代码签名证书进行保护。 永远不会相遇。
如何从SSL证书和签名属性调用Soap Web服务
[英]How to call Soap web service from ssl certificate and signing attributes
调用需要签名的Web服务时,“(从客户端)找不到**证书”
[英]“*Certificate not found* (from client)” when calling Web Service that requires signing
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
