我正在为最终用户创建一个Web服务,该服务将以Adobe AIR桌面应用程序的形式提供前端,但用户也可以通过网站访问他们的数据。用户的数据将在服务器和本地数据存储之间同步。问题是我无法获得SSL证书。有没有办法使其更安全......我想我可以使用像两条腿的oAuth或亚马逊S3之类的身份验证系统?在这种情况下,你有什么建议?
ltqd579y1#
第一个问题是:为什么你不能得到一个SSL证书?2我可以想到两个原因:
1条答案
按热度按时间ltqd579y1#
第一个问题是:为什么你不能得到一个SSL证书?2我可以想到两个原因:
1.您不希望使用第三方颁发的证书
如果您的问题是#1,StartSSL提供有效期为1年的免费证书,或者对有效期为2年的无限证书(包括通配符)收取50美元的费用。Mozilla和Microsoft信任商店都认可这些证书。
如果问题是第二个,为什么不发布一个自签名证书并将其硬编码到应用程序中呢?这根本不会危及系统的安全(只有您的特定证书才会被应用程序接受),但无需从其他地方“获取”SSL证书。
如果你真的不能使用SSL,看看挑战-响应系统,比如Kerberos,或者匿名密钥生成器,比如Diffie-Hellman(使用非对称密钥来验证服务器身份)。有很多方法可以在不安全的线路上进行安全的两方身份验证。关键是身份验证步骤必须是 * 挑战-响应 *,而不是“把你的秘密发送给我”方案。