Yêu cầu chứng chỉ từ tổ chức phát hành chứng chỉ

Question

Câu hỏi lừa đảo.

Tôi có ứng dụng máy chủ tcp sử dụng chứng chỉ cho tls/ssl và được lưu trữ trong tệp pkcs # 12. Giả sử CA được cài đặt ở đâu đó trên mạng và có thể truy cập, nó sẽ là thực hành bình thường để yêu cầu chứng chỉ ssl từ CA (một lần), lập trình (C#) và ghi nó ra tệp pkcs # 12 để máy chủ sử dụng.

Đó có phải là thực hành bình thường hay trường hợp mua chứng chỉ từ CA như Thawte hoặc Versign vv, cụ thể cho khách hàng đó và tạo tệp pkcs # 12 trước và cài đặt như một phần của quá trình cài đặt.

Answer 1

Tôi nghĩ đây là trường hợp đối số có thể theo một trong hai cách.

Yêu cầu chứng chỉ có lập trình và ký có giá trị nếu bạn cần quản lý một số lượng lớn trang web, mất xác thực qua trung gian của con người nếu xảy ra sự cố nghiêm trọng (ví dụ: nếu ai đó xâm nhập hoặc nghe yêu cầu ban đầu của bạn). Tại một số điểm, một quyết định tin cậy cần phải được thực hiện, hoặc theo lập trình, hoặc là một nhà điều hành con người.

This paper by Bruce Schneier đi vào chi tiết hơn, thảo luận về các rủi ro tiềm ẩn đối với kiến ​​trúc CA làm nền tảng cho các quyết định tin cậy cho PKI cryptography. Tôi tin rằng điều này bao gồm nhiều trường hợp phù hợp với vấn đề của bạn và thiết kế của bạn mà bạn có thể không có, và nên xem xét.