【问题标题】:Security Risk for Self Signed Certificate in WCFWCF 中自签名证书的安全风险
【发布时间】:2013-09-27 02:18:55
【问题描述】:

如果以下场景存在重大安全风险,谁能告诉我?

场景:我有一个托管在 azure 中的 WCF Web 服务。而不是买一个 第三方 X.509 证书,我想生成我们自己的 自签名证书并将我的 ROOT CA 提供给第三方 客户。然后他们将 ROOT CA 导入到他们的证书存储中。这个 然后将启用带有自签名证书的 https。

我对 X509 证书和 SSL 等很陌生。如果有人能告诉我这个解决方案的优点和缺点,那就太好了。

谢谢。

【问题讨论】:

    标签: wcf


    【解决方案1】:

    如果您的客户愿意接受自签名证书,那是安全的。

    X.509 背后的主要思想是信任 - 也就是说,当您接受证书作为身份证明时,您不信任他们,您'信任颁发证书的机构。

    在自签名证书的情况下,颁发机构(颁发者)和它所识别的事物是同一事物。除了自签名证书之外,不是根证书,并且实际上并不指定签名机构。这意味着许多策略和系统实际上认为它们无效,并且必须跳过几个环节并更改配置选项(包括 WCF 中的配置选项)才能使用它们。在此过程中,您的客户将经历一大堆请勿这样做警告。

    自签名证书主要用于开发。从某种意义上说,他们是“安全的”,他们按照锡上所说的去做,但这就像用手写的借条而不是支票付款一样。是正品吗?谁知道?

    如果您有时间,我真的建议您花 50 美元购买证书或设置一个实际的 PKI(如果您打算发布其中的几个)。如果客户有称职的 IT 人员,他们就不太可能嘲笑你。

    【讨论】:

    • 如果您只关心加密,那么为什么不使用自签名证书。如果您还需要身份验证,则只需从商业 CA 购买即可。
    【解决方案2】:

    我能想到的唯一专业人士就是它可以为您节省一点钱。至于缺点,你不能撤销自签名证书,所以如果你的证书被泄露,你就不走运了。 (更不用说如果您不愿意适当地证明您的公司,它可能会让一些客户觉得不专业)

    【讨论】:

      【解决方案3】:

      对于多供应商场景,自签名证书不是一个好主意。从知名出版商那里获得证书总是理想的。看起来很专业。

      【讨论】:

        猜你喜欢
        • 2011-05-19
        • 1970-01-01
        • 2011-05-12
        • 2017-12-18
        • 1970-01-01
        • 1970-01-01
        • 2012-07-02
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多