Web service sob https, por si só já é criptografado?

Oi gente.

Estou com uma dúvida, se um servidor(por exemplo jboss) estiver habilitado SSL, e eu tiver um server webservice que foi feito deploy e a url do wsdl seja iniciada com “https://meuserver/teste.wsdl”.

Isso quer dizer que meu web service é seguro?

Se isso já é seguro, porque então existe assinatura digital e criptografia com WS Security do WS?

Obrigada a todos.

Só quer dizer que é criptografado. Entretanto, está submetido ao ataque “Man-in-the-Middle” se a identidade do certificado digital do servidor não for cuidadosamente verificada.

[quote=carol_programadora]Oi gente.

Estou com uma dúvida, se um servidor(por exemplo jboss) estiver habilitado SSL, e eu tiver um server webservice que foi feito deploy e a url do wsdl seja iniciada com “https://meuserver/teste.wsdl”.

Isso quer dizer que meu web service é seguro?

[/quote]

Não. Só quer dizer que a transmissão dos dados entre seu cliente e “meuserver” ocorre de forma criptografada. Segurança de um serviço envolve vários outros fatores:

  1. O certificado enviado por “meuserver” bate com o que se espera ?

  2. O certificado é válido ? (ie: está em dia, não foi revogado, a cadeia de certificação está ok, etc)

  3. O serviço valida se quem o está a acessar pode fazê-lo

  4. O serviço valida a mensagem e rejeita qualquer tipo de dado inválido

  5. O serviço não possui falhas que possam ser exploradas através da manipulação do conteúdo da mensagem XML (ex: SQL Injection)

Um dos motivos é que o WS-Security tem como foco garantir a integridade da mensagem em todo o seu trajeto, o qual pode compreender a passagem por transportes não seguros tais como e-mail e redes internas.