SSL或代码签名证书

Question

我们必须确保REST服务是安全的，我们正在考虑为此使用SSL证书，但是有人建议使用代码签名证书，我不确定它是否会提供HTTPS协议和安全的客户机/服务器通信。(点对点)互联网上没有太多的信息，如果有人能对其进行详细说明，并告诉我代码签名证书是否也会使用浏览器中的https来进行安全的客户机/服务器通信，将会有帮助。

提前谢谢。

Answer 1

..。然而，有人建议使用代码签名证书，我不确定它是否会提供HTTPS协议和安全的客户机/服务器通信。

代码签名帮不上忙。web安全模型不是这样设置的。有关这个问题的一些很好的读物是网络安全报告。它突出了几乎所有的安全特性，但经常忽略安全漏洞(即，它无法记录风险)。

在当前模型下，浏览器执行代码，而不管代码来自何处。可能是HTTPS，HTTP或者是被坏人注射的。随着“浏览器作为平台”的扩展和功能变得更加完善，以与本机应用程序保持一致，当前的模型无法满足需求。这是因为一些API处理敏感数据，比如照相机、麦克风和位置，所以需要比“任何代码都可以从任何地方运行”更多的东西。

web的模型正朝着安全来源的方向发展，授权代码在与敏感数据交叉时运行。唯一需要的安全来源是一个服务器证书来识别主机。还可以在Chrome中看到更喜欢强大的新特性的安全来源，以及IETF的网页-应用-秒邮件列表上的各种讨论。

现在是一个很好的时机来提到web正在实现身份验证是授权的飞跃。X509证书只标识服务器；它本身不授权任何特权。认证主机身份的CA不提出这些声明，也不保证与其有任何关系。和与重写相关联的公钥破坏了对安全上下文的假设。。

身份验证是授权是Java与其applets和沙箱所犯的相同错误。将授权视为身份验证非常糟糕，以至于建议变成“不要请求任何权限，因为它允许您突破沙箱(只有恶意软件才会请求权限)”。有关更多阅读，请参见Java丢失的安全遗产。

Answer 2

有人不知道他们在说什么。SSL端点使用SSL证书进行保护。代码使用代码签名证书进行保护。这两个人永远不会相遇。