Tomcat アプリケーション サーバーとバック エンド システム間の https 通信をセットアップする必要があります。Web サーバーは公開 Web サイトをホストするため、DMZ 内にあります。
私の質問は、この状況 (マシン間通信) で自己署名証明書を使用するよりも、公式の CA 証明書を使用する利点があるかどうかです。
実稼働システムでは自己署名証明書を使用すべきではないという話をよく耳にしますが、その理由 (マシン間通信の場合) がよくわかりません。
1085 次
2 に答える
1
リスクは、ホスト間のネットワーク接続を含め、問題のホストを保護する防御がどれほど効果的であるかにかかっています。弱点やエクスプロイトが常に発見されていることを考えると、実稼働環境 (DMZ 内のホストを含む) で使用される自己署名証明書に問題がある可能性があると言っても過言ではありません。
理由は次のとおりです。つまり、いずれかのホスト (またはそれらの間のネットワーク) が侵害された場合、それらの間のトラフィックは引き続き暗号化されますが、証明書が自己署名されているため、中間者 (別名「MITM」) が両側から信頼される自己署名証明書を使用して、透過的なプロキシを導入できます。
代わりにホストが公開 CA を使用する場合、MITM アプローチは機能しません。
ホストあたりの年間 15 ~ 50 ドルの投資が、それらにある可能性のあるもの (侵害、マルウェアの提供など)を含め、それらに関する情報よりもコストがかかる場合、選択は簡単です。証明書の購入について心配する必要はありません。それ以外の場合は、それらを調べることが重要です。
この Web ページの Adam Hupp によるコメントは、優れた単純なシナリオを提供します。
そして、リスクの詳細な説明は次のとおりです: http://blog.ivanristic.com/2008/07/vast-numbers-of.html
最後に、2 つのシナリオをバランスよく見ていきますが、この記事では、完全に機能し、適切に保護され、実装された認証局サーバーがインストールされている場合にのみ、自己署名 OK と見なします: http://www.networkworld.com/news/tech/ 2012/021512-ssl-証明書-256189.html
于 2012-11-08T01:54:01.847 に答える
0
マーケティング部門であるという事実を除けば、このタスクに公式の証明書を使用することに利点はありません。インフラストラクチャが「$CAによって100%認定されている」と主張する可能性があります。暗号化アルゴリズム/強度と証明書の期間は、構成方法に応じて同じにすることができます。
あなたが聞く推奨事項は、おそらくブラウザとの通信のためのHTTPSのはるかに一般的な使用法に焦点を当てています。これは、今日、自己署名証明書について不平を言っています。サーバー間のデータ転送については、計画した方法でトラフィックを暗号化することをお勧めします。
于 2012-09-21T10:52:43.663 に答える