WS-Security
WS-Security è una proposta per aggiungere sicurezza ai messaggi SOAP a livello di messaggio, definendo posizioni e sintassi standardizzate con cui i token di sicurezza (come i certificati X.509 e ticket Kerberos) possono essere trasportati all'interno delle intestazioni SOAP al fine di proteggere il contenuto del Messaggi SOAP.
WS-Security sfrutta le specifiche esistenti di firma digitale XML e crittografia XML per acquisire i risultati, rispettivamente, delle operazioni di firma e crittografia nella sintassi XML. In sostanza, WS-Security standardizzerà la posizione in cui i blocchi di dati della firma XML e della crittografia XML vengono trasportati all'interno di un messaggio SOAP.
Perché è necessario?
I meccanismi di sicurezza come TLS (Transport Layer Security) non sono sufficienti per proteggere i servizi Web. Poiché TLS crea un canale sicuro attraverso il quale scorrono i messaggi, non è in grado di offrire una protezione differenziata, ad esempio crittografando e/o firmando solo componenti particolari di tali messaggi. Ciò è rilevante quando parti non sensibili del messaggio devono essere consultate o modificate da attori intermedi. Inoltre, in uno scenario in cui un messaggio SOAP potrebbe passare attraverso più attori, il TLS non è in grado di fornire protezione end-to-end, ma questo consente solo di proteggere ogni “passo”, con le conseguenti lacune di sicurezza presso gli attori intermedi.
Stato
Nell’agosto 2002 è stato formato un nuovo Comitato Tecnico OASIS per supervisionare la standardizzazione della proposta WS-Security.
L’impegno di Entrust
Entrust è un membro attivo del nuovo comitato tecnico OASIS che lavora su WS-Security. Entrust supporta già la firma XML e la crittografia XML in Entrust Authority™ Security Toolkit per Java e queste sono gli elementi costitutivi fondamentali di WS-Security. Man mano che la specifica avanza, Entrust si baserà sul supporto esistente al fine di supportare direttamente la specifica WS-Security stessa.