Normalmente, o lado do servidor verificará o nome comum (CN) do certificado do cliente que corresponde ao nome de domínio do cliente (DN).
Mas eu precisaria estender a verificação de segurança. Preciso verificar se o endereço IP de entrada do cliente corresponde ao endereço IP DNS do nome de domínio do cliente.
Por exemplo:-
- Certificado Cliente Servidor CN e Nome de Domínio como "test.123.net". E endereço IP do registro DNS (A) "test.123.net" = 1.1.1.1.
- A conexão é https.
- Quando este cliente envia uma solicitação para o meu servidor. primeiro, preciso verificar se o endereço IP do cliente corresponde ao endereço IP DNS. Neste caso, o endereço IP de entrada do cliente deve usar o endereço IP = 1.1.1.1.
- Segundo, verifique a correspondência do certificado CN com o nome de domínio. Neste caso, "test.123.net" corresponde ao nome de domínio de entrada do cliente.
Eu sei que posso usar OpenSSL ou Apache para fazer a verificação CN e DN, mas não consegui encontrar nenhuma maneira de verificar se o endereço IP do cliente corresponde ao endereço IP DNS do DN.
Posso saber se existe alguma ferramenta no mercado que pode fazer isso? Ou qualquer servidor web pode fazer isso? Tentei pesquisar no Google por um longo tempo, mas não consegui encontrar nada.
Obrigado,
Responder1
Outra abordagem provavelmente irá atendê-lo melhor.
Em primeiro lugar, poucas organizações possuem o seu espaço de endereço IP e, para elas, configurar o DNS reverso correto é um incômodo que envolve entrar em contato com o seu ISP e solicitar esse serviço. Geralmente, esse é um processo manual. Isso significa que, no caso "típico", você não tem ideia de qual organização está usando atualmente um endereço IP específico com granularidade mais restrita do que no nível do ISP.
Isso, por sua vez, significa que se você quiser fazer pesquisas explícitas de certificados de cliente, você pedirá ao cliente para criar um certificado autoassinado e lhe entregar a cadeia de CA correspondente que o identifica como válido do ponto de vista dele, ou para comprar um certificado de uma CA conhecida que você pode verificar de forma independente. Nesse caso, nenhuma validação de endereço IP é necessária, porque um bisbilhoteiro que não possui a chave privada correta receberá apenas uma bagunça criptografada sua - uma criptografada com a chave pública do cliente legítimo.
Se você quiser aumentar a segurança além disso, planeje um túnel VPN. Uma alternativa (que não é necessariamente boa contra ataques direcionados) seria limitar o acesso ao seu sistema a endereços IP explícitos.