Mam rozproszoną aplikację składającą się z wielu komponentów, które komunikują się za pośrednictwem protokołu TCP (na przykład JMS) i protokołu HTTP. Wszystkie komponenty działają na wewnętrznym sprzęcie, z wewnętrznymi adresami IP i nie są dostępne publicznie.Certyfikaty podpisane SSL do użytku wewnętrznego
Chcę, aby komunikacja była bezpieczna przy użyciu protokołu SSL. Czy ma sens kupowanie podpisanych certyfikatów od znanego urzędu certyfikacji? A może powinienem użyć samopodpisanych certyfikatów?
Moje zrozumienie zalet zaufanych certyfikatów polega na tym, że organ jest podmiotem, któremu można zaufać przez ogół społeczeństwa - ale jest to problem tylko wtedy, gdy opinia publiczna musi mieć pewność, że podmiot w określonej domenie jest którzy mówią, że są.
Dlatego w moim przypadku, gdy ta sama organizacja jest odpowiedzialna za komponenty na obu końcach komunikacji, a wszystko pomiędzy nimi, publicznie zaufany organ byłby bezcelowy. Innymi słowy, jeśli wygeneruję i podpiszę certyfikat dla mojego własnego serwera, wiem, że jest godny zaufania. Nikt spoza organizacji nigdy nie zostanie poproszony o zaufanie do tego certyfikatu. To jest moje rozumowanie - czy mam rację, czy jest jakaś potencjalna korzyść z używania certyfikatów znanego organu?
masz rację. nie ma nic więcej do powiedzenia. – hop