Самоподписанный сертификат для защиты веб-сайта
У нас есть веб-сайт, доступный в Интернете. Но мы хотим, чтобы наши партнеры имели доступ к нашему сайту, поэтому мы генерируем самозаверяющий сертификат сервера и сертификаты, подписанные нашим самостоятельно созданным сертификатом для наших партнеров. При доступе к нашим веб-сайтам партнер должен предоставить сертификат.
То есть наш веб-сайт использует проверку сертификата клиента. Теоретически любой человек, не имеющий выданного нами сертификата, не должен иметь доступ к нашему веб-сайту, даже не видя страницу входа или что-то еще. Это используется в качестве первой меры безопасности. (другие - другая история)
Достаточно ли этого, чтобы предотвратить нежелательный доступ к нашему веб-сайту?
Я хотел бы подробно рассказать о сертификатах клиентов на основе блога Что такое проверка подлинности сертификата клиента? .
- у нас есть веб-сайт, доступный в Интернете. но мы хотим, чтобы наши партнеры имели доступ к нашему веб-сайту, поэтому мы создаем самозаверяющий сертификат сервера и сертификаты, подписанные нашим самогенерированным сертификатом для наших партнеров. при доступе к нашим веб-сайтам партнер должен предоставить сертификат.
Это предотвратит несанкционированный доступ, если вы правильно настроили свой веб-сервер для запроса сертификата клиента у клиентского приложения доступа (браузера и т. д.).
В качестве обратной связи я хотел бы, чтобы вы посетили ссылку: Каковы риски самоподписывания сертификата для SSL . Если у вас есть возможность получить сертификат сервера из корневого центра сертификации, это было бы целесообразно. Но это ваш звонок.
Цитата из блога, указанного выше:
Если сервер поддерживает аутентификацию по сертификату клиента, только пользователи, которые пытаются подключиться с клиентов, загруженных нужным клиентом сертификаты будут успешными. Даже если законный пользователь пытается подключитесь с правильным именем пользователя и паролем, если этот пользователь не на клиентское приложение, загруженное с правильным клиентским сертификатом, этот пользователь не будет предоставлен доступ. Фактически, если этот пользователь подключается из Веб-браузер, страница входа в систему (где он должен ввести свое имя пользователя и пароль) могут вообще не загружаться, как показано ниже.
Кроме того, я бы рекомендовал вам включить больше факторов аутентификации, чтобы минимизировать вероятность нарушения безопасности. Вы не упомянули подробности о своем веб-сайте.
- Достаточно ли этого для предотвращения нежелательного доступа к нашему веб-сайту?
Да, это должно предотвратить нежелательный доступ. Но вы уже знаете, что в безопасности не бывает серебряной пули.
Вы должны думать не только о своем веб-приложении, но и об инфраструктуре, которой вы управляете. Есть несколько других угроз, таких как DoS и т. Д., О которых необходимо позаботиться. В любом случае, это совсем другая история, и люди написали книги по этой теме.
Я надеюсь, что это поможет. Спасибо, что задали этот вопрос.
Да, это безопасно, если сертификат клиента хранится в безопасном месте. Вы также можете добавить схему аутентификации на веб-сайт после аутентификации сертификата клиента.
В качестве примера, некоторые конфиденциальные медицинские веб-сайты используют тот же совет для защиты своего веб-сайта, но они предоставляют каждому пользователю сертификат более безопасным способом, на смарт-карте (например, гемальто), защищенной булавкой.
Как вы можете видеть, безопасность такого метода аутентификации привязана к месту, где удаленные узлы защищают сертификат.