Это решение является безопасным для доступа к личному сертификату пользователя в Интернете с помощью связи WebSoket?
Мы разрабатываем веб-страницу, которая использует протокол https (двусторонний).
Нам нужен доступ к закрытым сертификатам пользователя, потому что нам нужно подписывать документы сертификатом пользователя, поэтому мы разработали приложение Java, которое взаимодействует с Интернетом через веб-пакет.
Это приложение будет вызывать с помощью протокола вызова из Интернета (то же самое, что при открытии PDF-файла в Acrobat Reader из браузера).
Поэтому мы должны быть уверены, что наша сеть обращается к нативному приложению (только к нашей сети). Мы хотим разработать систему, чтобы быть уверенным в этом. Наша идея:
Отправьте открытый ключ, подписанный токен с помощью личного сертификата сервера и симметричный ключ (для шифрования соединений через веб-сокеты) в собственное приложение.Далее мы проверим в нативном приложении, что токен в порядке с веб-службой на сервере.После этого нам нужно будет открыть веб-сокет между собственным приложением и сетью и таким образом отправить подписанный документ собственным приложением.Затем отправил документ на сервер.Безопасна ли эта реализация? Будем ли мы в безопасности от человека посередине?
Любые предложения по этому решению будут полезны, потому что я не вижу никаких недостатков, но я не эксперт по безопасности.
Я знаю другие решения этой проблемы, такие как апплеты, JavaFX или нативные сообщения в Chrome, но я только хочу знать, безопасно ли это решение.
Спасибо всем заранее и извините, если мой английский не самый лучший: P,