Клиент-серверное приложение на основе сокета Java SSL
Для двусторонней проверки необходимо ли ввозить сертификат с обеих сторон?
Ответы 1
Короткий ответ - нет, вам это не нужно.
Вместо того, чтобы импортировать сертификат каждой стороны, то, что должно быть импортировано как на клиенте, так и на сервере, является сертификатом CA, поэтому при изменении сертификата сервера или клиента вам не нужно импортировать их снова, и это позволяет серверу не импортировать все сертификаты клиентов. .
Еще одна мера аутентификации, о которой почти все забывают при реализации какой-либо аутентификации на основе сертификатов, - это проверка их на действительность. Вы должны не только проверить, что срок действия сертификата не истек и он действителен (он правильно подписан доверенным центром сертификации), но также проверить, что сертификат не был отозван (представьте, что sb утек свой собственный закрытый ключ, а его сертификат не должен больше не доверяю).
Для проверки отозванных сертификатов наиболее распространены методы OCSP, которые имеют меньше накладных расходов при проверке одного сертификата, но требуют постоянного онлайн-соединения с сервером OCSP (это может быть собственный CA) или для импорта периодически публикуемого CRL.
Вы подписались самостоятельно или использовали хорошо известный авторитет?