相互SSL - 认证足够多少?
[英]Mutual SSL - how much authentication is sufficient?
问题描述
假设您有一个相互SSL服务,除了SSL之外,它还具有应用程序身份验证。 因此,客户端提供证书(以及服务器),但客户端请求(例如,REST请求)还包含后端应用程序服务器验证的用户名/密码。
就客户端身份验证的“程度”而言,似乎有多个级别。 一个级别(a)仅用于客户端提供由服务器CA存储中的CA签名的证书。 另一个明显的级别(b)是服务器为了(a)加上确保应用程序凭证是正确的。 第三级(c)是做(a)和(b)加上确保客户端证书与帐户唯一关联。
(c)的好处是它可以防止被“可信CA”信任的人滥用非法获得的应用程序密码。
我意识到这一切都不太可能,但我想知道(c)假设是什么程度的相互SSL,而不是简单的(a)或(b)?
2 个解决方案
解决方案1
0 2013-04-10 14:59:13
我假设“相互SSL”是指TLS v1.0,1.1或1.2,包括基于服务器和客户端证书的身份验证,而“相互SSL的一部分”是指TLS规范的一部分。
使用此解释,只有(a)是相互SSL的一部分。 TLS规范包括与SSL握手消息共享证书。 它不包括用户名/密码检查或检查帐户的SSL证书。
解决方案2
0 2010-04-08 19:34:34
是的,我在考虑类似的事情 。
您可以做的一件事是为您的应用程序提供一个不包含任何CA的单独信任库。 这样,您就可以使用已授权的自签名证书授予客户端访问权限。
对于同一应用程序中的不同路径,基于相互证书的身份验证是否可以与 SSL 上的基本身份验证共存?
[英]Can Mutual Certificate based Authentication co-exist with Basic Auth over SSL for different paths within the same application?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.