WS-Security
Para proteger mensajes SOAP, la propuesta WS-Security define una sintaxis para añadir tokens de seguridad (como certificados X.509 y tickets Kerberos) en los encabezados SOAP.
WS-Security aprovecha especificaciones XML para capturar resultados de operaciones de firma y cifrado. En esencia, WS-Security estandarizará el lugar de un mensaje SOAP donde añadir datos de firma y cifrado XML.
¿Por qué es necesario?
Para proteger servicios web, no bastan mecanismos de seguridad como TLS. TLS crea un canal seguro para mensajes pero no brinda protección diferenciada para cifrar o firmar solo componentes específicos de esos mensajes. Esta función es importante para intermediarios que acceden o modifican partes no confidenciales del mensaje. Además, cuando un mensaje SOAP circula entre múltiples participantes, el protocolo TLS no brinda protección de extremo a extremo. Como TLS solo protege cada “salto”, ofrece brechas de seguridad de los actores intermedios.
Estado
En agosto de 2002, se formó un nuevo comité OASIS para supervisar la estandarización de la propuesta WS-Security.
La participación de Entrust
Entrust es miembro activo de este comité OASIS para el protocolo WS-Security. El Entrust Authority™ Security Toolkit para Java ya soporta la firma y cifrado XML requeridos por WS-Security. A medida que avanza la especificación, Entrust amplía sus productos para soportar WS-Security.