मान लें कि आपके पास एक आपसी एसएसएल सेवा है, जो एसएसएल के अतिरिक्त, एप्लिकेशन प्रमाणीकरण है। इस प्रकार, ग्राहक प्रमाण पत्र (साथ ही सर्वर) प्रदान करते हैं, लेकिन ग्राहक अनुरोध (उदा।, आरईएसटी अनुरोध) में एक उपयोगकर्ता नाम/पासवर्ड भी शामिल है जो बैक-एंड एप्लिकेशन सर्वर प्रमाणित करता है।म्यूचुअल एसएसएल - कितना प्रमाणीकरण पर्याप्त है?
क्लाइंट प्रमाणीकरण की "डिग्री" के संदर्भ में, ऐसा लगता है कई स्तरों देखते हैं कि। एक स्तर (ए) क्लाइंट के लिए बस एक प्रमाण प्रदान करने के लिए है जो एक सीए द्वारा हस्ताक्षरित है जो सर्वर सीए स्टोर में है। एक अन्य स्पष्ट स्तर (बी) सर्वर के लिए है (ए) प्लस सुनिश्चित करें कि एप्लिकेशन प्रमाण-पत्र सही हैं। एक तीसरा स्तर (सी) करना है (ए) और (बी) प्लस यह सुनिश्चित करना है कि ग्राहक प्रमाण खाते से विशिष्ट रूप से जुड़ा हुआ है।
(ग) के लाभ के thet यह कोई है जो एक "विश्वसनीय सीए" द्वारा विश्वसनीय है एक आवेदन अवैध रूप से प्राप्त करने के लिए पासवर्ड का दुरुपयोग रोकता है।
मुझे एहसास है कि यह सब बहुत ही असंभव है, लेकिन मुझे आश्चर्य है कि किस हद तक (सी) को आपसी एसएसएल का हिस्सा माना जाता है, बनाम (ए) या (बी)?
आप सभी तीन की जरूरत है, और आप एक चौथा पूरे चरण की जरूरत है: प्राधिकरण *, * अर्थात आवेदन के इस भाग जाने के लिए अधिकृत इस प्रयोक्ता है? – EJP