我最近不得不与两个大型实体实现 XML 消息传递,这要求我们提供 SSL 客户端证书以及使用不同的签名证书对 SOAP 消息体进行签名。除了冗余之外,消息正文的签名WITH A DIFFERENT CERTIFICATE是否提供任何额外的保护?
编辑以澄清问题并指出我和 EJP 之间多年的误解。
除了将 SSL 与相互身份验证(客户端证书)结合使用之外,对消息进行签名的值(value)在于您可以获得不可否认性。但是,无论是使用客户端证书对消息进行签名还是使用不同的签名证书,您都会知道。
最佳答案
签署消息提供了对交易的法律强制不可否认性。你有证据证明那个客户而且只有那个客户可以发送那个消息,你可以在法庭上重复签名验证来证明。 SSL 在较低的技术层面上为您提供了相同的东西,但您没有任何办法获得签名,因此您无法在法庭上出示它:您只能挥手作证,而不是实际的数字签名签名,这是一个合法的签名,因此是初步证据。
关于web-services - 当您使用带有客户端证书的相互 SSL 时,是否有任何理由签署消息体,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10705016/