任何人都可以讓我知道下面的場景是否存在重大安全風險?WCF自簽證明的安全風險
場景:我有一個以azure託管的WCF Web服務。我不想購買 第三方X.509證書,我想生成我們自己的 自簽名證書,並將我的ROOT CA提供給第三方 客戶。然後他們將ROOT CA導入他們的證書存儲區。然後這個 將啓用帶有自簽名證書的https。
我對X509證書和SSL等新的安靜。如果任何人可以讓我知道這個解決方案的PROS和CON將是偉大的。
謝謝。
如果你的客戶願意接受一個自簽名證書是安全的。
X.509背後的主要思想是信任 - 也就是說,當你接受證書作爲身份證明,你不信任他們,你相信誰發出權威證書。
在自簽名證書的情況下,授權(發行者)和它所識別的東西是相同的東西。除了自簽名證書是而不是根證書,並且實際上並沒有指定簽名權限。這意味着許多策略和系統實際上認爲它們是無效的,並且必須跳過幾個環節並更改配置選項(包括WCF中的配置選項)才能使用它們。你的客戶將涉及大量的在這個過程中不要做這個警告。
自簽名證書主要用於開發。他們是「安全」的,因爲他們按照罐子上的說法進行操作,但這就像用手寫的借條單而不是支票支付。這是真的嗎?誰知道?
如果你有時間的話,我真的會建議將50美元的證書拿出來,或者建立一個真正的PKI,如果你打算髮行其中的幾個。如果客戶擁有優秀的IT人員,他們不會嘲笑你。
我能想到的唯一的職業是爲你節省一點錢。至於缺點,你不能撤銷自簽名證書,所以如果你的證書被破壞,你的運氣不好。 (更不用說,如果你不願意妥善認證你的公司,可能會招致某些客戶不專業)
對於多供應商場景自簽名證書不是個好主意。從知名出版商處獲得證書始終是理想選擇。它看起來專業。
如果您只關心加密,那麼爲什麼不使用自簽名證書。如果你還需要認證,那麼只需從商業CA購買。 – Wout 2012-10-24 15:13:00