Http с шифрованием с клиента на сервер и с сервера на клиент

Question

Вот сценарий:

1. Настольное приложение
2. Установлено из Интернета
3. Необходимо вызвать веб-службу WCF
4. Переданные данные должны быть зашифрованы с клиента на сервер и с сервера на клиент

Есть ли хорошо понятое решение для этого:

1. Secure
2. Простота в управлении и развертывании

Я думаю, в первую очередь это сводится к тому, происходит ли шифрование https в обоих направлениях ... Или для этого нужна взаимная аутентификация?

Answer 1

Попробуйте использовать HTTP через SSL

Answer 2

HTTPS - это то, что вам нужно - он обеспечивает сквозное шифрование (клиент-сервер и сервер-клиент).

Если вы можете сгенерировать и установить сертификат сервера и быть уверенным, что ваши клиенты "доверяют" органу, выдавшему ваш сертификат, тогда все в порядке. Обратите внимание, что это не взаимная проверка подлинности - ваши клиенты знают, что они связались с правильным сервером, но сервер не знает, кто связался с ним.

Он может предлагать взаимную аутентификацию с использованием сертификатов на стороне клиента, но я бы сказал, что это не подпадает под требование «простота развертывания».

Answer 3

HTTPS работает ...

Я путал Шифрование с Аутентификацией, и это две разные вещи.Simple Https, который является наиболее распространенным, только аутентифицирует сервер на клиенте, что достаточно во многих случаях.Для аутентификации клиента на сервере может потребоваться дополнительный шаг (когда у клиента также есть сертификат), но это не обязательно.В обоих сценариях данные с протоколом Https шифруются как с сервера на клиент, так и с сервера на сервер с использованием ключа сеанса после завершения рукопожатия SSL.Это все описано здесь:

Описание рукопожатия Secure Sockets Layer (SSL)