フィッシングに関する質問。
tls / sslの証明書を使用し、pkcs#12ファイルに保存されているtcpサーバーアプリケーションがあります。CAがネットワーク上のどこかにインストールされ、アクセス可能であると仮定すると、CAからssl証明書を(1回)プログラムで(C#)要求し、サーバーで使用するためにpkcs#12ファイルに書き出すのが通常の方法です。
それは通常の方法でしょうか、それとも、ThawteやVersignなどのCAから、特にその顧客向けに証明書を購入し、事前にpkcs#12ファイルを作成し、インストールプロセスの一部としてインストールする場合のシナリオである可能性が高くなります。
これは、議論がどちらの方向にも進むことができる場合だと思います。
多数のサイトを管理する必要がある場合、プログラムによる証明書の要求と署名にはメリットがあります。何かがひどく悪くなった場合(たとえば、誰かが最初の要求を乗っ取ったり聞いたりした場合)、人間による検証が失われます。ある時点で、プログラムで、または人間のオペレーターとして、信頼の決定を下す必要があります。
Bruce Schneierによるこのペーパーでは、 PKI暗号化の信頼性の決定を支えるCAアーキテクチャに対する潜在的なリスクについて詳しく説明します。これは、あなたの問題やあなたが持っていないかもしれない、そして考慮すべきではないあなたのデザインに関連する多くのケースをカバーしていると私は信じています。