Richiesta di un certificato dall'autorità di certificazione

Question

Domanda di phishing.

Ho un'applicazione server TCP che utilizza i certificati per tls/ssl e memorizzati nel file pkcs # 12. Supponendo che una CA sia installata da qualche parte sulla rete ed è accessibile, sarebbe normale richiedere un certificato ssl dalla CA (una volta), a livello di codice (C#) e scriverlo nel file pkcs # 12 per l'utilizzo da parte del server.

Sarebbe una pratica normale, o lo scenario più probabile sarebbe il caso di acquistare il certificato da una CA come Thawte o Versign ecc., In particolare per quel cliente, e creando in anticipo il file pkcs # 12 e installandolo come parte del processo di installazione.

Answer 1

Penso che questo sia un caso in cui l'argomento può andare in entrambi i modi.

Le richieste di certificati programmatici e la firma hanno i loro meriti se è necessario gestire un numero elevato di siti, in caso di perdita della convalida mediata dall'uomo se qualcosa va terribilmente storto (ad esempio, se qualcuno dirotta o ascolta la richiesta iniziale). Ad un certo punto, una decisione di fiducia deve essere presa, sia a livello di codice, sia come operatore umano.

This paper by Bruce Schneier entra più nel dettaglio, discutendo i potenziali rischi per l'architettura CA alla base delle decisioni di affidabilità per PKI cryptography. Credo che questo copra molti casi pertinenti al tuo problema e al tuo progetto che potresti non avere, e dovresti, prendere in considerazione.