Boa tarde, estamos utilizando uma aplicação que roda no tomcat e estamos um pouco preocupados com a segurança dos dados, já que a aplicação não lá aquelas coisas em relação à segurança.
Para melhor a segurança, pensamos fazer algo que nem sei se é possível:
Instalar um certificado digital (como os pfx da vida utilizados para baixar nf-e do site da sefaz) no browser das pessoas que irão usar a aplicação web, fazer alguma configuração no tomcat que este só responda requisições feitas de navegadores com este certificado instalado.
Isto é possível? Caso seja possível, como devo fazer para gerar (ou comprar) este certificado digital? Quais configurações devem ser feitas no tomcat? Se não for possível, o que posso fazer para melhorar a segurança do aplicativo?
Fico no aguardo de sugestões.
É perfeitamente possível fazer isso (se você olhar uma aplicação chamada “Office Banking Bradesco Plus” vai ver que ele faz exatamente isso) mas SSL ( https ) não garante a segurança do site. Você está pensando em criar um site que força o usuário a instalar um certificado na máquina dele (mais ou menos como aqueles sites da Prefeitura de São Paulo, ou da Receita Federal, que exigem que você use um certificado para acessar o site?)
Exatamente isto, forçar o usuário instalar um certificado digital para poder utilizar meu aplicativo. Eu dei uma olhada neste LINK e consegui gerar um certificado pfx, mas nem sei se é isto que devo fazer.
O que vc me diz? É possível fazer isto? O que devo fazer?
O conjunto das coisas que devem ser feitas é bem complexo, porque envolve o conceito de “Autoridade Certificadora”. Não conseguiria responder em um único post; acho melhor você procurar uma apostila sobre Certificação Digital.
(A propósito, acho que é por isso que não quero lhe responder em 10 linhas agora - eu já trabalhei muito tempo com isso, e é por isso que não queria dar uma resposta torta).