任何人都可以让我知道以下场景是否存在重大安全风险?
Scenario: I've a WCF web services hosted in azure. Instead of buying a third party X.509 Certificate, I would like to generate our own self-signed certificate and provide my ROOT CA to the third party clients. They then import the ROOT CA to their certificate store. This would then enable a https with self signed certificate.
我对 X509 证书和 SSL 等很陌生。如果有人能让我知道这个解决方案的优点和缺点会很棒。
谢谢。
最佳答案
如果您的客户愿意接受自签名证书,它就是安全的。
X.509 背后的主要思想是信任——也就是说,当您接受证书作为身份证明时,您并不信任它们,而是信任颁发证书的机构。
在自签名证书的情况下,颁发机构(颁发者)和它识别的东西是一回事。除了自签名证书不是根证书,并且实际上并不指定签名机构。这意味着许多策略和系统实际上认为它们无效,必须跳过几个环节并更改配置选项(包括 WCF 中的选项)才能使用它们。在此过程中,您的客户会遇到一大堆“请勿这样做”的警告。
自签名证书主要用于开发。它们是“安全的”,因为它们按照 jar 头上的说明行事,但这就像用手写的借据而不是支票付款。是正品吗?谁知道?
如果您有时间,我真的建议您花 50 美元购买证书或设置一个实际的 PKI,如果您打算发行其中的几个。如果客户拥有称职的 IT 员工,他们就不太可能 mock 您。
关于wcf - WCF中自签名证书的安全风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7092096/