相互 SSL - 多少身份验证才足够？

Question

假设您有一个双向 SSL 服务，除了 SSL 之外，该服务还具有应用程序身份验证。因此，客户端提供证书（以及服务器），但客户端请求（例如，REST 请求）还包含后端应用程序服务器用来进行身份验证的用户名/密码。

就客户端认证的“程度”而言，似乎有多个级别。一级 (a) 只是让客户端提供由服务器 CA 存储中的 CA 签名的证书。另一个明显的级别 (b) 是服务器执行 (a) 并确保应用程序凭据正确。第三级 (c) 是执行 (a) 和 (b) 并确保客户端证书与帐户唯一关联。

(c) 的好处是它可以防止“可信 CA”信任的人滥用非法获得的应用程序密码。

我意识到这一切都不太可能，但我想知道在多大程度上 (c) 被假定为相互 SSL 的一部分，而不是简单地 (a) 或 (b)？

Answer 1

是的，我在考虑类似的东西 。

您可以做的一件事是为您的应用程序提供一个不包含任何 CA 的单独信任库。这样您就可以只向具有您授权的自签名证书的客户端授予访问权限。

Answer 2

我假设“相互 SSL”是指具有基于服务器和客户端证书的身份验证的 TLS v1.0、1.1 或 1.2，而“相互 SSL 的一部分”是指 TLS 规范的一部分。

使用这种解释，只有 (a) 是相互 SSL 的一部分。 TLS 规范包括与 SSL 握手消息共享证书。它不包括用户名/密码检查或针对帐户检查 SSL 证书。