證書寄希望於AWS LAMBDA證書寄託在AWS LAMBDA
能否處理程序AWS拉姆達,通過API網關調用的函數,達到降入要求在所有的連接層來訪問使用什麼證書來建立客戶端的SSL/TLS連接?我想爲我正在構建的API實施證書鎖定策略,因爲我找到了十幾種不鎖定SSL的方式,並且API中的數據不是社交媒體帖子。
任何替代,如不可能?
如果lambda函數沒有訪問連接層是否有進一步實施安全而不是簡單地說「SSL夠」
最後手段
如果沒有按LAMBDA以類似方式不能讓我訪問客戶端連接的證書信息,我將不得不求助於非對稱加密。
*「我找到了十幾種可以繞過SSL的方法」*實際上是什麼意思?你如何繞過未實現的認證機制?您是否知道在服務器請求客戶端證書之前,它需要知道它可以對其進行客戶端證書認證的CA? (API網關不是。)或者,如果服務器不請求一個,客戶端實際上並不提供證書* *。 (API網關沒有。)系統沒有客戶端證書可以告訴您。 –
@Michael你認爲這是什麼意思?男人在中間。證書鏈僞造。在HTTP重定向到HTTPS之前轉發欺騙性HTTPS請求。如果您認爲SSL不能被破壞,那麼我們現在就停止對話。 –
我從來沒有建議SSL不能被攻破,但是您提到的問題都沒有真正緩解當前問題的主題,即客戶端身份驗證。如果沒有TLS,API網關已經不支持HTTP。當然,您仍然可以使用HSTS ...並使用自定義域名和證書,您應該也可以使用[HPKP](https://en.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning)但這些也與客戶證書無關......所以我試圖理解你所說的內容。 –