Estou criando um aplicação que ira trabalhar e gerencinar certificado digitais de clientes.
A ideia é importar o certificado do cliente e eu deixar disponível métodos de assinatura e transmissão para para sefaz por exemplo. Porém para quem entende de certificado digital sabe que entre os mais comuns estão A1(arquivo) e A3(Token).
Na minha aplicação decidi atender somente A1 por conta da praticidade de importação.
A minha dúvida é sobre segurança , pois quando o cliente importa o certificado no meu sistema eu armazeno esse certificado no servidor no Banco de dados ou no Disco?
E também me preocupa a possibilidade de um ataque hacker no servidor. Pra quem entende de certificado digital sabe o tanto que é uma coisa séria e não pode ficar na mão de qualquer um.
Qual seria o melhor caminho nesta situação ?
A solução que adotei em uma aplicação que tive que fazer onde eu trabalho foi importar o certificado ssl no servidor de aplicação e o .pxf(p12), deixei numa pasta dentro do servidor de aplicação também.no caso dos dois certificados usei recursos do java para poder usa-los
Entendi , como você lida com a parte de segurança, ja que estamos falando de certificado digital ?
então como o certificado ficou dentro do servidor de aplicação a aplicação só consegue acessar ele quando esta feito o deploy dela naquele servidor especifico, então outras aplicações de fora não irão conseguir acessar, agora quanto a possibiliade de um ataque hacker ai ele teria que invadir a máquina do servidor para conseguir usar o certificado, porém quem cuida do firewall e coisas de segurança do servidor é a equipe de infra
entendi , acho que vou fazer utilizando esta abordagem mesmo, no meu caso irei ter vários certificados digitais sobre meu poder sabe. Dai fico com receio por conta da segurança. obrigado
ta certo, certificado é algo sensível mesmo, mas utilizando essa abordagem nunca tive nenhum problema, por nada