WS-Security (Sécurité des services Web)
La sécurité des services Web (WS-Security) est une proposition faite pour ajouter la sécurité au niveau des messages aux messages SOAP, en définissant des emplacements et une syntaxe normalisés par lesquels les jetons de sécurité (tels que les certificats X.509 et les tickets Kerberos) peuvent être transposés dans les en-têtes SOAP, afin de sécuriser le contenu des messages SOAP.
La sécurité des services Web (WS-Security) exploite les spécifications existantes de signature numérique XML et de chiffrement XML pour capturer les résultats des opérations de signature et de chiffrement, respectivement, dans la syntaxe XML. Essentiellement, WS-Security normalisera l’emplacement des blocs de données de signature XML et de chiffrement XML dans un message SOAP.
Pourquoi est-ce nécessaire ?
Les mécanismes de sécurité comme TLS (Transport Layer Security) sont insuffisants pour sécuriser les services Web. Le TLS crée un canal sécurisé à travers lequel les messages circulent ; il est donc incapable de fournir une protection différenciée, par exemple le chiffrement et/ou la signature de composants particuliers de ces messages. Ceci est pertinent lorsque des parties non sensibles du message doivent être consultées ou modifiées par des acteurs intermédiaires. De plus, dans un scénario où un message SOAP peut passer par plusieurs acteurs, le TLS est incapable de fournir une protection de bout en bout ; le TLS permet uniquement à chaque « saut » d’être protégé (avec les failles de sécurité qui en résultent au niveau des acteurs intermédiaires).
État
Un nouveau comité technique d’OASIS a été formé en août 2002 pour superviser la normalisation de la proposition WS-Security.
Implication d’Entrust
Entrust est un membre actif du nouveau comité technique d’OASIS qui travaille sur la sécurité des services Web (WS-Security). Entrust prend déjà en charge la signature XML et le chiffrement XML dans la Boîte à outils de sécurité Entrust Authority™ pour Java et ces derniers sont les éléments fondamentaux de WS-Security. Au fur et à mesure que la spécification progressera, Entrust s’appuiera sur ce support existant pour prendre directement en charge la spécification WS-Security elle-même.