Pour répondre à nos exigences de sécurité internes, j'ai écrit un client Java qui utilise des certificats pour s'authentifier mutuellement auprès du serveur. Cependant, pour obtenir le certificat dans un SSLContext, je dois fournir un mot de passe au keystore et à la confiance. Le mot de passe est en texte de plainte dans le code, ce qui est également contraire à nos exigences.Comment éviter d'avoir keystore/trustore mot de passe en texte brut dans la base de code?
Existe-t-il un moyen d'éviter que les mots de passe keystore/truststore apparaissent en texte brut dans le code? J'ai essayé des réponses sur Stack Overflow qui suggèrent de créer un magasin sans mot de passe et/ou de charger un certificat directement dans le SSLContext, mais l'authentification échoue lorsque j'essaie ces méthodes.
Vous n'avez pas besoin de fournir un mot de passe au fichier de clés certifiées. À un moment donné, vous devez faire confiance à l'opérateur. La solution habituelle à cela est la sécurité physique via une carte d'accès. – EJP