<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div><div><br></div><div>You can always use easy-rsa if you are not interested in going down the route of managed PKI. </div><div><br></div><div><a href="https://github.com/OpenVPN/easy-rsa">https://github.com/OpenVPN/easy-rsa</a> </div><div><a href="https://wiki.archlinux.org/index.php/Easy-RSA">https://wiki.archlinux.org/index.php/Easy-RSA</a><br></div><div><br></div><div>I have used easy-rsa to do PKI for internal LANs in the past and works fairly well when you control the servers and the hosts. </div><div><br></div><div>Hey Abhay are you talking about this from cloudflare? </div><div><br></div><div><a href="https://github.com/cloudflare/cfssl">https://github.com/cloudflare/cfssl</a><br></div><div><br></div><div>Never used it before but would love to hear your thoughts on its usage.</div><div dir="ltr"></div><div><br></div><br><div class="gmail_quote"><div dir="ltr">On Fri, 4 Jan 2019 at 18:53, Abhay Rana <<a href="mailto:capt.n3m0@gmail.com">capt.n3m0@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> On Fri, 4 Jan 2019, 16:05 cyber research <<a href="mailto:001.appsec.007@gmail.com" target="_blank">001.appsec.007@gmail.com</a> wrote:<br>
>> It sounds clear and we are planning to implement "X509" certificate authentication (handles only authentication) with JWT tokens (handles authorization). I believe this implementation is very secure.<br>
<br>
There are lots of known attacks on JWT that rely on very common<br>
misconfigurations. It is possible to deploy JWT securely, but JWT by<br>
virtue is a very abstract protocol that allows clients a lot of<br>
control and misconfigurations can cause a lot of damage.<br>
<br>
There is a IETF Draft for JWT Best Practices[0] that you should read<br>
if you're planning to implement it.<br>
<br>
For X509 Auth, I'd highly recommend letting someone else take care of<br>
the PKI for you. AWS for eg supports a Private Managed CA[1], and<br>
CloudFlare supports TLS Client Cert Authentication[2].<br>
<br>
There is also the additional trouble of managing cert revocations and<br>
rotations that you'll need to figure out (Using a Managed CA can help<br>
with this).<br>
<br>
[0]: <a href="https://tools.ietf.org/html/draft-ietf-oauth-jwt-bcp-04" rel="noreferrer" target="_blank">https://tools.ietf.org/html/draft-ietf-oauth-jwt-bcp-04</a><br>
[1]: <a href="https://aws.amazon.com/certificate-manager/private-certificate-authority/" rel="noreferrer" target="_blank">https://aws.amazon.com/certificate-manager/private-certificate-authority/</a><br>
[2]: <a href="https://blog.cloudflare.com/introducing-tls-client-auth/" rel="noreferrer" target="_blank">https://blog.cloudflare.com/introducing-tls-client-auth/</a><br>
<br>
-- <br>
______________________________________________________________________________<br>
null - Spreading the right Information<br>
null Mailing list charter: <a href="http://null.co.in/section/about/null_list_charter/" rel="noreferrer" target="_blank">http://null.co.in/section/about/null_list_charter/</a><br>
--- <br>
You received this message because you are subscribed to the Google Groups "null" group.<br>
To unsubscribe from this group and stop receiving emails from it, send an email to <a href="mailto:null-co-in%2Bunsubscribe@googlegroups.com" target="_blank">null-co-in+unsubscribe@googlegroups.com</a>.<br>
Visit this group at <a href="https://groups.google.com/group/null-co-in" rel="noreferrer" target="_blank">https://groups.google.com/group/null-co-in</a>.<br>
For more options, visit <a href="https://groups.google.com/d/optout" rel="noreferrer" target="_blank">https://groups.google.com/d/optout</a>.<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Warm regards,<br>Akash Mahajan<br><br><i>Co-Founder Appsecco</i> | +91 99 805 271 82<br><a href="http://akashm.com" target="_blank">akashm.com</a> | <i>@makash</i> | <a href="http://linkd.in/webappsecguy" target="_blank">linkd.in/webappsecguy</a><br><i>OWASP Bangalore Chapter Lead | null Community Manager</i><br><br></div></div></div></div></div></div></div>