Salve a tutti
sto lavorando alla realizzazione di una API Blocking REST
Mi sono studiato i pattern di sicurezza ma c’è un aspetto, direi comune a tutti, che è lasciato un po’ sul vago e quindi mi piacerebbe un confronto con voi
Mi riferisco in particolare al fatto che si assume l’esistenza di un trust tra fruitore ed erogatore che permette il riconoscimento del certificato X.509, o la CA emittente
Questo passaggio mi è oscuro o meglio vuol dire troppo.
Come implemento questo trust?
L’erogatore deve fornire al fruitore un certificato e questi se lo salverà in qualche keyStoreManager per poi usarne la PK per cifrare?
Non centra nulla il mio certificato TLS che uso per esporre le applicazioni in https, corretto?
In quale scenario verifico la CA e non il certificato stesso?
Esiste una documentazione con esempi pratici di modi per realizzare questo Direct trust?
Grazie mille
1 Mi Piace
Ciao @verbatel_festa ,
Come implemento questo trust?
Il trust (meccanismo fiduciario) lo stabiliscono Erogatore e Fruitore, coerentemente con le norme che disciplinano il settore specifico. Ad esempio, in ambito sanitario il trust potrebbe essere indicato in qualche regolamento di settore. Nel quadro della PDND, il trust è definito nelle Linee Guida PDND.
Nel caso dei certificati, Erogatore e Fruitore devono accordarsi sul contenuto dei relativi certificate store. Un modo per farlo è aggiungere i rispettivi certificati ai propri certificate store. Un altro modo, è usare delle CA riconosciute.
La risposta quindi dipende da chi sono Erogatore e Fruitore, e dall’ambito dell’API. Dovendo creare un’API, è comunque possibile disaccoppiare di solito le operazioni dal meccanismo di autenticazione e autorizzazione.
Possiamo discuterne su https://slack.developers.italia.it nel canale #api.
Grazie molte per la risposta
Lo specifico documento non l’avevo ancora analizzato
Passo a studiarmelo e poi eventualmente approfitterò del canale slack
Grazie ancora