HeartBleed e certificados de cliente

1

É verdade que um servidor, configurado para exigir um certificado de cliente, não pode sofrer com a vulnerabilidade Heartbleed, se esse usuário não tiver um certificado de cliente?

    
por Myforwik 08.09.2014 / 12:46

1 resposta

1

De RFC 6520 :

   A HeartbeatRequest message can arrive almost at any time during the
   lifetime of a connection.  Whenever a HeartbeatRequest message is
   received, it SHOULD be answered with a corresponding
   HeartbeatResponse message.

Acredito que isso possa acontecer durante a fase "hello" do TLS em que cliente e servidor estão trocando certificados, ou seja, antes que o servidor possa dizer "não" ao cliente com base no certificado, ou a falta dele.

    
por 08.09.2014 / 12:58