Mutual SSL: ¿cuánta autenticación es suficiente?

Question

Supongamos que tiene un servicio SSL mutuo, que además del SSL, tiene autenticación de la aplicación. Por lo tanto, los clientes proporcionan certificados (así como servidores), pero la solicitud del cliente (por ejemplo, solicitud REST) ​​también contiene un nombre de usuario/contraseña con el que se autentica el servidor de la aplicación de fondo.

En términos del "grado" de autenticación del cliente, parece que hay varios niveles. Un nivel (a) es simplemente para que el cliente proporcione un certificado firmado por una CA que se encuentra en la tienda CA del servidor. Otro nivel obvio (b) es que el servidor afore (a) además de garantizar que las credenciales de la aplicación sean correctas. Un tercer nivel (c) es hacer (a) y (b) además de garantizar que el certificado del cliente esté asociado de manera única con la cuenta.

El beneficio de (c) es que impide que alguien a quien una "CA confiable" pueda abusar de una contraseña de la aplicación obtenida ilegalmente.

Me doy cuenta de que esto es muy poco probable, pero me pregunto hasta qué punto (c) se supone que es parte de SSL mutuo, frente a simplemente (a) o (b)?

Answer 1

Sí, estaba pensando en something similar.

Una cosa que puede hacer es darle a su aplicación un almacén de confianza independiente que no contenga ningún CA. De esta forma, puede dar acceso a clientes con certificados autofirmados que haya autorizado.

Answer 2

Supongo que con "SSL mutuo" quiere decir TLS v1.0, 1.1 o 1.2 con autenticación basada en certificado de cliente y servidor, y por "parte de SSL mutua" quiere decir parte de la especificación TLS .

Al utilizar esta interpretación, solo (a) es parte de SSL mutuo. La especificación TLS incluye compartir el certificado con un mensaje de saludo SSL. No incluye verificaciones de nombre de usuario/contraseña ni verificar el certificado SSL en una cuenta.